昨天专注于供应链攻击的黑客团队 TeamPCP 开源发布用于 NPM 生态系统的蠕虫病毒 Shai-Hulud (名称取自科幻小说沙丘中的沙虫),下游黑客只需要按需修改里面的部分选项和 C2 命令控制服务器后即可使用,例如拿来感染更多搜寻到的云开发环境等。
该黑客团队还在介绍里明确说明这个蠕虫病毒是通过人工智能编写的,且不论代码质量如何,这个蠕虫病毒已经在此前的几次攻击中取得成功,所以公开蠕虫源代码后可能会造成病毒扩散并被更多下游黑客直接复用。
安全公司 OX 分析师称 TeamPCP 将自己开发并经过实战的蠕虫病毒代码开源着实让人无法理解,不过从 TeamPCP 团队的做法来看,该团队当前似乎更看重的是炫技,当然也有可能是更多黑客使用这个蠕虫病毒后可以混淆视听,让安全公司追踪 TeamPCP 变得更加困难。
现在微软已经直接从 GitHub 上删除这个蠕虫仓库并封禁发布者 @PedroTortoriello 的账户,除了主仓库被删除外,相关的 fork 也同样被删除,也就是至少在 GitHub 上是搜不到 Shai-Hulud 源代码的。
公开发布此类蠕虫病毒源代码属于违反 GitHub 使用协议的行为,被微软删除仓库和封禁账户也是无可厚非的,不过相关源代码已经在互联网上公开,下游黑客也可以通过其他方式继续获得源代码,所以只要 TeamPCP 愿意,继续传播源代码是没有任何难度的。