TeamPCP 供应链投毒升級
安天CERT指出,TeamPCP正借AI把供应链投毒做成批量化、自动化攻击,目标涵盖开源包、CI/CD与开发者凭证。
安天CERT指出,TeamPCP正借AI把供应链投毒做成批量化、自动化攻击。
安天CERT最新分析显示,TeamPCP正在把传统的供应链入侵,改写成更快、更广的批量投毒流程。攻击面从开源包一路延伸到CI/CD流水线、开发者凭证和发布链路,形成连续渗透。
这次被点名的行动横跨多个阶段,报告提到团队在8个月内完成多轮更新,并围绕Chalk/Debug、Shai-Hulud、Megalodon、Mini Shai-Hulud持续调整手法。AI被放进作恶流程后,恶意代码迭代、伪装发布和溯源干扰都明显加速。
| 項目 | 數值 |
|---|---|
| 攻击程序迭代周期 | 8个月内完成多轮更新 |
| 重点行动 | Chalk/Debug、Shai-Hulud、Megalodon、Mini Shai-Hulud |
| 主力生成工具 | Claude 3.5 Sonnet + Claude Code CLI |
| 辅助模型 | GPT-4o、GPT-4 Turbo |
| 可信标准击穿 | SLSA L3 |
发生了什么
訂閱 AI 趨勢週報
每週精選模型發布、工具應用與深度分析,直送信箱。不定期,不騷擾。
不會寄垃圾信,隨時可取消。
报告把TeamPCP的打法概括为“广而快”的投毒模式,而不是过去那种长期潜伏、单点渗透的供应链攻击。攻击者不再只盯一个仓库或一个维护者,而是批量污染开源组件、劫持CI/CD流程、窃取OIDC令牌,再把恶意负载塞进正常发布链路。
AI在这里不是旁观工具,而是直接参与生成。报告称,Claude 3.5 Sonnet与Claude Code CLI被用来产出脚手架、启动脚本和后门逻辑,GPT-4o负责细化攻击逻辑和混淆代码,Copilot则补全局部片段。对攻击者来说,这等于把原本需要手工拼接的链条,压缩成可重复调用的工作流。
报告还列出几项具体特征:8个月内多轮迭代,Mini Shai-Hulud中劫持TanStack官方CI/CD并窃取OIDC令牌,恶意程序伪装成符合SLSA L3的可信发布产物,通信还被包装成OpenTelemetry遥测接口。换句话说,攻击不只是在“进来”,还在尽量让自己看起来像正常开发活动。
- 8个月内,TeamPCP完成多轮攻击迭代。
- Mini Shai-Hulud中,攻击者劫持TanStack官方CI/CD并窃取OIDC令牌。
- 恶意程序可伪装成符合SLSA L3的可信发布产物。
- 通信还被伪装成OpenTelemetry遥测接口,降低识别难度。
更麻烦的是溯源干扰。报告指出,TeamPCP会用多语种混杂注释、字符倒置加密和误导线索来抬高分析成本。AI在这里同样有用,因为它能快速生成不同版本的伪装文本,让攻击痕迹看起来更像“混乱的开发现场”,而不是刻意设计的入侵链。
为什么重要
对开发团队来说,防线已经不只在仓库权限和包管理器上。CI/CD、云凭证、构建缓存、第三方Action和AI开发工具都可能成为入口,只要一个上游环节被攻陷,恶意代码就能借正常发布流程进入下游项目。
这也解释了为什么供应链安全正在从“单点防护”转向“全链路验证”。SBOM、签名、来源证明和SLSA仍然重要,但TeamPCP案例说明,这些信任标记本身也可能被伪造。开发者接下来要看的,不只是有没有签名,而是签名、流水线、身份和产物之间是否真的一致。
对产业来说,这类攻击会把安全成本往上推,因为防守方必须同时处理自动化投毒、AI辅助伪装和快速变种。过去靠人工审查还能抓住一部分异常,现在则需要把检测前移到构建和发布环节,并把遥测、身份验证和制品验证串成一条线。
结论很直接:当AI把投毒成本压低、把伪装能力抬高后,开发者要问的不是“有没有恶意包”,而是“哪一层信任已经被污染”。