TeamPCP供应链投毒暴露AI攻击升级
安天CERT称TeamPCP借AI批量生成恶意代码、伪造可信发布与溯源干扰,推动供应链攻击从隐蔽渗透转向高频投毒。
安天CERT指出,TeamPCP正用AI把供应链投毒变成批量化、自动化攻击。
安天CERT在一篇分析TeamPCP的报告中称,这个组织已把传统的隐蔽式供应链入侵,改造成“沙暴式”批量投毒:从开源包、CI/CD流水线到开发者凭证,攻击面被连续放大。报告强调,AI正在缩短恶意代码迭代周期,并让攻击者更容易伪装发布、干扰溯源和扩大入侵规模。
| 項目 | 數值 |
|---|---|
| 攻击程序迭代周期 | 8个月内完成多轮更新 |
| 重点行动 | Chalk/Debug、Shai-Hulud、Megalodon、Mini Shai-Hulud |
| 主力生成工具 | Claude 3.5 Sonnet + Claude Code CLI |
| 辅助模型 | GPT-4o、GPT-4 Turbo |
| 可信标准击穿 | SLSA L3 |
What changed
Get the latest AI news in your inbox
Weekly picks of model releases, tools, and deep dives — no spam, unsubscribe anytime.
No spam. Unsubscribe at any time.
报告把TeamPCP的打法概括为“广而快”的投毒模式,而不是传统那种长期潜伏、点对点渗透的供应链攻击。攻击者不再只盯单个仓库或单个维护者,而是批量污染开源组件、劫持CI/CD流程、窃取OIDC令牌,再把恶意负载嵌入正常发布链路。
更关键的是,AI被直接放进了作恶流程:Claude 3.5 Sonnet和Claude Code CLI被用于生成脚手架、启动脚本和后门逻辑,GPT-4o被用来细化攻击逻辑和混淆代码,Copilot则补全局部片段。报告称,这种人机协同把工具进化周期从“月”压到“周、日”级别。
- 8个月内,TeamPCP完成多轮攻击迭代。
- Mini Shai-Hulud中,攻击者劫持TanStack官方CI/CD并窃取OIDC令牌。
- 恶意程序可伪装成符合SLSA L3的可信发布产物。
- 通信还被伪装成OpenTelemetry遥测接口,降低识别难度。
报告还指出,TeamPCP并不只做入侵,还主动做“溯源干扰”:通过多语种混杂注释、字符倒置加密和刻意植入的误导线索,抬高事后分析成本。对攻击者来说,AI不只是写代码的工具,也是伪装、分发和误导的加速器。
Why it matters
对开发团队而言,这意味着防线不再只在仓库权限和包管理器上,CI/CD、云凭证、构建缓存、第三方Action和AI开发工具都可能成为入口。只要一个上游环节被攻陷,恶意代码就能借正常发布流程进入下游项目,影响范围远超单个仓库。
对市场来说,供应链安全正在从“单点防护”转向“全链路验证”。报告提到的SBOM、签名、来源证明和SLSA等机制仍然重要,但TeamPCP案例表明,这些信任标记本身也可能被伪造。下一步的重点,不只是检查有没有签名,而是验证签名、流水线、身份和产物之间是否真的一致。
结论很直接:当AI把投毒成本压低、把伪装能力抬高后,开发者需要问的不是“有没有恶意包”,而是“哪一层信任已经被污染”。
// Related Articles