黑客组织恶意投毒开源代码！导致数百家机构受到波及

软件供应链攻击，是通过篡改正规程序植入恶意代码的高危网络威胁，此前这类事件并不频发，却始终让安全行业高度警惕。

如今犯罪组织TeamPCP频繁发动此类攻击，几乎每周都制造代码污染事件，数百款开源工具遭篡改，团伙借此向受害方勒索获利，也让全球软件开发生态陷入信任危机。

近期开源平台GitHub曝出遭供应链入侵事件，有开发者在微软旗下的编辑器中安装了带毒插件。

该组织宣称入侵平台内约4000个代码仓库，GitHub核查后证实至少3800个仓库中招，涉事均为平台自身代码，并未波及用户数据。TeamPCP还公开售卖源码与内部资料，招揽买家交易。

此次入侵仅是该团伙系列攻击的最新案例。近数月内，TeamPCP已发起20轮供应链攻击，超500款软件被植入恶意程序，遭篡改的代码版本总数破千。

频发的恶意攻击，也给开源软件安全使用带来严峻考验。安全专家建议把控更新节奏，暂缓上线全新代码，避免自动更新带来风险。业内人士也提醒用户秉持审慎态度，代码运行前做好恶意筛查，预留核验缓冲期，防止恶意程序侵入设备造成损失。