seo优化_前端开发_渗透技术
导语:我昨天刚写了 GitHub 被 TeamPCP 端了 3,800 个仓库的事,今天睡一觉起来,剧情就反转了——TeamPCP 把原帖撤了,找了 LAPSUS$ 当新东家,报价从 5 万直接跳到 9.5 万。这速度,比我家楼下卖早餐的都勤快。
一、价格为什么突然翻倍了
回顾一下昨天的时间线:5 月 19 日,TeamPCP 在 BreachForums 发帖出售约 4,000 个 GitHub 私有仓库,起价 $50,000。声明说这不是勒索,只要有一个买家就删数据,找不到就免费泄露。
GitHub 5 月 20 日官方确认:约 3,800 个内部仓库被窃,跟 TeamPCP 的声明”方向性一致”。
到了今天——也就是 5 月 21 日,剧情来了个大转弯:
TeamPCP 撤下了 BreachForums 的原帖,转投了 LAPSUS$。
暗网研究员 Matthew Maynard 向 DataBreachToday/ISMG 确认了这一变化:”TeamPCP 已将数据上架到 LAPSUS95,000。”
独立安全研究员 Kevin Beaumont 也通过 Mastodon 确认了这桩交易,而且还补了个更猛的料:LAPSUS$ 已经在 LimeWire 上发布了部分文件树列表和样本数据。
Kevin 的原话是:”文件树是真实的,而且非常长。”
9.5 万美元,等于之前的价格翻了个倍。这笔钱买的是 GitHub 内部仓库的源代码、内部组织架构、密钥体系——对任何一个情报买家来说,都是价值连城的货色。
二、LAPSUS$ 为什么要”接盘”?
这就得先搞清楚 LAPSUS$ 是谁。
2022 年横空出世的 LAPSUS$,凭一己之力把三星、育碧、微软挨个”打卡”。他们的模式不是传统的 Ransomware,而是 “拿了就卖”——偷数据、晒样本、开价拍卖,不赎金、不加密、不废话。
这次跟 TeamPCP 的合作,走的是同一条路线。
根据 DataBreachToday 和多家安全媒体的报道,TeamPCP 撤帖转投 LAPSUS$ 的逻辑很清楚:
TeamPCP 擅长”进货”,LAPSUS$ 擅长”出货”。
TeamPCP 是供应链攻击的专家——通过投毒开源工具、恶意 VS Code 扩展、篡改 npm/PyPI 包来获取初始访问。但他们没有自己的暗网平台和买家资源。LAPSUS$ 恰好反过来:他们有成熟的暗网泄露站、有买家人脉、有整套的数据变现渠道。
一个负责偷,一个负责卖。这不是第一次。
三、这不是第一次:Checkmarx 先例
2026 年 4 月底,TeamPCP 通过 Trivy 供应链攻击获取了凭据,入侵了 Checkmarx 的 GitHub 仓库,窃取了 96 GB 数据。
DataBreachToday 的报道援引 SecurityBoulevard 的分析说得很直白:”TeamPCP 的 Trivy 供应链攻击提供了凭证,使 GitHub 入侵成为可能;LAPSUS$ 随后获取并发布了被盗数据——这条链条说明单一上游供应链漏洞如何产生复合性的下游后果。”
简单翻译一下:供应链攻击一旦打通了第一道门,后面的攻击链就可以无限复制。
Aikido Security 的 Mackenzie Jackson 评价得更加直接:”TeamPCP 在 2026 年通过 Trivy、Checkmarx、Bitwarden CLI、TanStack,现在又是 GitHub——全是开发者工具链。一个 VS Code 扩展在员工电脑上,就够了。”
这句话值得每个企业安全团队认真听一下。
四、攻击者的嘲讽
TeamPCP 的 X 账号 @xploitrsturtle2 在 GitHub 官方声明发出后发了一条帖子,对 GitHub 安全团队进行了一番公开嘲讽:
“GitHub 知道这件事已经好几个小时了,他们拖延着不告诉你们,而且未来也不会诚实。多么美妙的旅程,过去几个月能和这些猫(指 GitHub 安全团队)玩耍是一种荣幸。”
这种居高临下的语气,多少反映了攻击者的心态。换做几年前的 LAPSUS$ 也是这个调性——在被执法部门打击之前,他们就是这么嚣张。
但换个角度想,GitHub 选择了先轮换密钥再公告,这在安全响应流程上其实更合理——公开太多细节等于给攻击者更多参考信息。只是选择不说明白具体的扩展名称,确实让社区排查的难度变大了一些。
五、数据在暗网上的处境
LAPSUS$ 将 GitHub 内部仓库数据上架泄露站后,发生了几件事:
1. 文件树已泄露
Kevin Beaumont 确认 LAPSUS$ 已在 LimeWire(一个 P2P 共享平台)上发布了 GitHub 内部数据的完整文件树。这意味着数据的分发已经开始了,无论有没有人付 9.5 万美元。
2. 样本数据已流出
部分样本数据也被发布。虽然 GitHub 声明”目前没有证据表明客户数据受影响”,但内部仓库里的密钥、API 配置、基础设施信息——这些一旦散出去,谁也不敢保证后续不会被二次利用。
3. 买家的身份
以 $95,000 开价的数据,买家不可能是普通的脚本小子。这个量级指向的是国家支持的情报机构、大型网络犯罪集团、或有能力进行后续渗透的商业情报公司。GitHub 内部仓库含有的代码、密钥、组织结构图,对这些买家来说是无价之宝。
六、事件时间线一览
| 时间 | 事件 |
|---|---|
| 2026.05.19 | TeamPCP 在 BreachForums 发帖,起价 $50,000 |
| 2026.05.19 | GitHub 初步声明,确认正在调查 |
| 2026.05.20 | GitHub 确认 ~3,800 个内部仓库被窃,攻击入口为恶意 VS Code 扩展 |
| 2026.05.20 |
Matthew Maynard 发现 TeamPCP 撤帖,转投 LAPSUS95,000
|
| 2026.05.21 | Kevin Beaumont 确认 LAPSUS$ 在 LimeWire 发布文件树和样本数据 |
| 2026.05.21 | TeamPCP 账号 @xploitrsturtle2 公开嘲讽 GitHub |
七、这件事到底意味着什么
回到我昨天那篇文章结尾的问题——”我的 .zsh_history 有没有危险?”
更新一下:数据已经在暗网散播了。不一定是精准的个人定向攻击,但数据本身已经被无限复制和分发。
GitHub 当前的态度是”客户数据没有受到次生影响”。这个措辞很讲究——内部仓库被窃不等于用户代码仓库被窃,但内部仓库里含有的云凭据、CI/CD 密钥、内部服务 URL,这些”基础设施级别的信息”有没有随 3,800 个仓库一起泄露,GitHub 目前没说透。
如果你是 GitHub 企业版用户,或者曾经向 GitHub 提交过涉及云平台访问的代码(比如 Terraform 脚本带密钥、.env 文件历史里有 API key),自查一下:
- 检查你提交过的所有代码
- 轮换 CI/CD 里用到的所有 GitHub Actions secrets
- 审查组织内所有员工的 VS Code 扩展清单
有个好消息是:安全社区已经有人开始整理完整的扩展排查指南和 KQL 查询语句,用于检测组织内是否有恶意扩展残留。
八、结语
这事儿还没完。
GitHub 承诺调查完成后会发布完整报告。TeamPCP 和 LAPSUS$ 的这条供应链攻击链——利用开发者工具作为初始访问向量 → 窃取凭据 → 入侵目标系统 → 由另一伙人负责变现——是一套已经被验证成功的组合拳。
2022 年的 LAPSUS$ 被打击之后沉寂了一段时间。2026 年的他们,搭档更专业、分工更明确、变现渠道更成熟了。
持续关注后续进展,特别是 GitHub 完整报告的发布和 LAPSUS$ 的数据最终流向。这条链路上的任何一个环节,都可能对下一个目标产生影响。
