一個黑客集團正以前所未見的規模汙染開放原始碼

事件概述

一個名為TeamPCP的黑客集團，透過汙染開發者使用的工具，對數以千計的GitHub內部資料庫發動攻擊，影響了超過3,800個內部GitHub儲存庫。

攻擊手法

黑客透過惡意修改的VS Code擴充功能（extension），讓開發人員在無意識下安裝惡意軟體，進而取得對內部系統的訪問權。

相關聲明與後續

GitHub已確認其內部資料庫遭入侵，並表示正在調查此事件。TeamPCP聲稱其行為包括竊取原始碼，並試圖以5萬美元售出這些資料。

專家評論

專家指出，惡意黑客汙染開放原始碼是一個嚴重問題，尤其在國際間競爭加劇的背景下，必須加強對開放原始碼的審查與安全機制。

此事件也顯示，隨著AI技術的發展，黑客可能更快速地發現潛在漏洞，進而擴大攻擊範圍。

來源：https://www.wired.com/story/teampcp-software-supply-chain-attack-spree-github/