Ad

#安全资讯 黑客团队 TeamPCP 接受采访分享如何防止被 (自己) 黑：锁定 NPM 包最低年龄、固定版本哈希、使用最小权限的凭证等。该黑客团队称最初自己也是白帽黑客致力于帮客户发掘漏洞，但在雇主做了非常不道德的事情后 (可能是事后不给钱？)，该团队决定转向黑帽。查看详情：https://ourl.co/113048

致力于 NPM 生态系统供应链攻击的黑客团队 TeamPCP 日前接受安全公司采访透露更多此前未被公开的信息，该团队通过 NPM 供应链攻击已经拿到数万家公司的机密数据，包括代码托管平台 GitHub 3800 个内部源代码仓库都被窃取并在公开出售中。

TeamPCP 团队最初也曾属于白帽黑客并帮助客户发掘漏洞，不过在雇主做了某件非常不道德事情后 (可能是不给钱？) 该团队决定转向黑帽，也就是通过攻击其他公司或窃取数据进行勒索，TeamPCP 最初其实是个勒索软件团队。

给开发者的防黑经验：

这段时间 NPM 供应链攻击已经让众多开发者感到麻木，不过事关安全问题开发者们还是要打起精神应对潜在的攻击，在采访中该黑客团队也分享避免被黑的经验，当然这些经验仅针对 TeamPCP 的供应链攻击。

锁定 NPM 包的最低年龄：通常恶意软件包发布后很快就会被检测到并下架，如果开发者在窗口期内安装恶意软件包那就会被感染并被窃取凭证，如果避免在这个窗口期内安装到恶意软件包呢？最简单的办法就是锁定软件包的最低年龄，例如只有软件包发布满 7 天才能安装，不满 7 天的安装包将在构建时被跳过并安装旧版本 (发布满 7 天的版本)，7 的窗口期已经足够软件包开发者或安全公司检测到问题并将其下架。

将版本固定到特定哈希值：设置安装软件包时检测哈希值，这样可以确保安装的包是合法版本，黑客发布的恶意版本哈希值肯定与原始包不同，通过将版本固定到特定哈希值也可以应对同版本软件包被替换为恶意版本的问题。

使用最小权限的凭证：开发者尤其是企业应当完善凭证管理机制，始终仅授予必要的凭证权限，不应该授予凭证太高的权限，否则凭证被窃取后黑客将可以通过凭证完成很多操作，最小化权限有助于减少攻击范围。

限制开发者使用的扩展程序：企业应当加强对开发者 IDE 中的扩展程序使用限制，企业必须了解开发者正在使用哪些扩展，或者直接限制开发者们只能使用 IT 管理团队批准的扩展程序，这样可以避免开发者不慎安装恶意扩展程序。

使用安全软件：目前在 NPM 供应链攻击中检测最及时的是 Socket 公司，该公司通常会在新恶意软件包发布几分钟内检测到异常，为此 TeamPCP 团队也建议企业使用 Socket 的服务，这样可以在恶意软件被安装前就被拦截。Socket 还会公开所有 IOC 和修复步骤，受影响的企业可以根据 IOC 进行入侵排查。

有人出价 10 万美元购买 GitHub 的源代码：

TeamPCP 最初确实是勒索软件团队，不过现在由于赚的钱已经足够多所以不再进行加密勒索，而且只窃取数据进行销售对企业的破坏也比较小 (相较于将企业所有数据全部加密而言)。

在 GitHub 案例中，3800 个源代码仓库最初售价 5 万美元，不过已经有人愿意以 9.5 万美元购买源代码，当然这仅仅只是收到的报价而非最终成交价，至于报价者的身份目前无法知晓，不清楚是黑客还是某些希望利用 GitHub 源代码开发产品的公司。