TeamPCP 开源供应链蠕虫 Shai-Hulud

网络犯罪组织 TeamPCP 日前在 GitHub 上公开了其 Shai-Hulud 供应链蠕虫的完整源代码。该团伙以 MIT 许可证发布了两个代码仓库，并附言道：“这是用 vibe 代码写的吗？是的。它好用吗？让结果说话。按需修改密钥和 C2 地址。爱你们的 TeamPCP。”

安全公司 OX Security 于周二发现了这些代码库，据 Vectra AI 研究员 Lucie Cardiet 观察，几小时内代码已被 fork 数十次——其中一个 fork 甚至在最前沿的安全团队还没读完标题之前，就增加了对 FreeBSD 的支持。截至周二下午，The Register 称一个仓库被 fork 了 5 次，另一个被 fork 了 39 次，且数字仍在增长。OX Security 警告称，“独立威胁行为者已开始修改代码并扩大其影响范围。”

从恶意软件到开源能力

这次发布标志着 TeamPCP 的策略从传播恶意软件转向传播攻击能力，大幅降低了供应链攻击的门槛。OX Security 的分析师写道：“TeamPCP 不再仅仅是传播恶意软件，而是在分发能力。通过选择开源，他们为任何感兴趣的一方提供了创建自己版本的工具。模仿者已经出现。”

Orca Security 将此举与 2016 年 Mirai 僵尸网络源代码的发布相提并论，那次开源催生了大量衍生僵尸网络。该公司在更新中表示：“代码副本已被镜像到网上，既让防御者得以改进检测，也让威胁行为者获得现成的基础来创建新变种。”

代码中包含了曾用于近期攻击的相同技术，包括 OIDC 令牌提取方法——该方法蠕虫能够发布带有有效密码学来源证明的恶意包，这项技术此前专属 TeamPCP。任何 fork 该仓库的行为者都将继承这一能力。

已在进行中的攻击活动

此次开源紧随 TeamPCP 最具破坏性的攻击活动之后。5 月 11 日，该团伙的“Mini Shai-Hulud”蠕虫攻陷了超过 170 个 npm 和 PyPI 包，涉及 TanStack、Mistral AI、UiPath 和 OpenSearch 等库，这些库合计月下载量达 5.18 亿次。该蠕虫从运行器内存中劫持 GitHub Actions 的 OIDC 令牌，发布带有有效 SLSA Build Level 3 来源证明的投毒包——使其成为首批通过标准密码学验证的 npm 蠕虫包。

攻击还部署了一个破坏性的“死亡开关”：名为 gh-token-monitor 的守护进程每隔 60 秒轮询 GitHub，一旦被盗令牌被撤销，便会清空开发者主目录。

TeamPCP 至少从 2025 年 9 月起就开始活跃，当时最初的 Shai-Hulud 蠕虫攻陷了超过 500 个 npm 包。2026 年 3 月，该团伙升级攻击，突破了 Aqua Security 的 Trivy 漏洞扫描器，并连锁攻陷了 Checkmarx、LiteLLM 和 Telnyx。截至周二，Shai-Hulud 仓库上线至少 12 小时，GitHub 尚未采取下架措施。