面向开发者工具供应链的沙暴式投毒——TeamPCP组织的样本、技术与战术分析(上篇)
时间 : 2026年05月28日
摘要:
TeamPCP是一个近年(2025年底开始活跃)来极度活跃,迅速受到关注的新兴攻击组织,其聚焦GitHub Actions、npm、CI/CD Pipeline、云开发环境的开发生态体系,进行系统性、规模化的入侵和投毒活动,从而使其攻破的每一点,都可能迅速根据分发、调用向下游扩散,从而形成持续扩散的威胁级联。其窃取的信息资产聚焦于类似GitHub、各种云端服务和认证的Token、Service Account 、API Key等各类凭证信息,是一个聚焦Token凭证获取为目标的威胁行为体。在传统的攻击模式画像中,针对软件供应链攻击通常采取定向、长期、隐蔽的攻击模式,而TeamPCP组织反其道而行之,构建了一种全新的“沙暴”式的攻击范式,全面覆盖式出击,并通过批量投毒尝试进入更多的“裂隙”,批量性的获取黑色收益。其不在意任何突破点的隐匿生命周期,甚至高调进行开源、悬赏等操作以最大化的扩展作业面和构建溯源干扰项。这种作业模式的场景条件是,AI时代的暴露面迅速扩张,全球开发者生态的信任式上下游分工和高效链接结合协同,恰恰成为全球IT体系的集体性“心智缺陷”。TeamPCP的攻击活动也得到更多的AI赋能,包括基于AI辅助恶意代码编写,其整体攻击策略、反溯源和干扰项构建等,也显然基于AI进行了全面梳理指引。TeamPCP不只是一个攻击团队,它通过把攻击能力转化为动态的Token凭证资源池,从而可以和勒索组织、其他黑灰产团伙等进行合作,使其自身变成一种黑灰产上游“生态”。当一种攻击活动构建了带有强示范性的递增收益循环,其就会进入到加速运动中,这是在RaaS、FaaS后的一种新的范式级威胁挑战。
TeamPCP组织的近期典型攻击活动为,2026年5月12日Mini Shai Hulud开源软件供应链投毒攻击爆发,该攻击通过污染超2100个软件包波及多个知名软件项目;攻击爆发次日,TeamPCP便在GitHub公开了这款蠕虫病毒的完整源码及使用说明。此后相关攻击持续发酵,5月18日代号“巨齿鲨(megalodon)”的自动攻击在6小时内对5561个GitHub项目发起5718次恶意代码植入,5月19日该恶意代码变种继续污染643个软件包,5月21日又证实另一款蠕虫搭载的恶意攻击模块与本次攻击出自同一团伙。
国内将相关攻击和样本翻译为“沙虫”,但由于“沙虫”在业界历史威胁分析、包括安天威胁情报体系中,已经用于作为其他攻击组织的俗名标签,为避免混淆和公众对归因问题的干扰,我们使用了“沙暴”一词。
安天CERT从上述攻击活动出发,基于两篇长篇报告展开针对性分析。
■ 《面向供应链的沙暴式投毒——TeamPCP组织样本、技术与战术的分析》(本文,上篇)
安天从数千个TeamPCP组织相关样本中选取了5个典型样本,在安天AVL Code智能体的辅助下展开全面分析。这5个样本覆盖了该组织在软件包投毒、载荷投递、自我扩散、凭据窃取等全环节攻击行为,系统还原了其从泄露蠕虫源码、公开悬赏激励到实施规模化自动化攻击的完整链路。全文聚焦该组织的威胁画像、样本分析、核心攻击特征、恶意代码AI生成痕迹,多维度地缘与文化线索的溯源研判,揭示其矛盾性特征与溯源干扰的设计逻辑。
本文面向政企运维人员、网络安全运营者、IT产品开发者、安全监管机构,重点呈现攻击组织背景、攻击特征、典型样本分析、溯源线索研判等基础核心信息,覆盖攻击态势与攻击技术证据,适用于安全通报、风险自查与态势汇报,帮助相关单位快速掌握威胁全貌、落实基础防控。
■ 下篇《AI时代的沙丘坍塌——TeamPCP攻击模式下的供应链安全挑战》(预告)
面向软件和人工智能领域的软件开发、运维、人员。聚焦结合供应链场景的技术研判与战略防御思考,多维度催化威胁成因、供应链攻击演化趋势与场景化防御方案。侧重机理深挖、成因拆解与高阶防御体系建设,展现人工智能时代对整个供应链攻击链路的理解。
如有读者关注本报告未覆盖的细节内容,安天CERT将另行发布补充报告。
一、TeamPCP组织情况与基本画像
1.1 TeamPCP组织命名情况
TeamPCP(亦称DeadCatx3、PCPcat、PersyPCP、ShellForce、UNC6780)自2025年下半年开始活跃,专注实施软件供应链投毒、CI/CD流水线渗透、开源生态污染、凭据窃取的高危网络犯罪组织,主要面向全球开发者基础设施发起规模化攻击,微软、Google等厂商对其追踪编号统一为UNC6780。
TeamPCP是该组织的自我称谓,该组织的Telegram频道名即@team_pcp(2025年11月创建,其早期频道名为@Persy_PCP),其在频道内发言有“you may already know us as TeamPCP or Shellforce… CipherForce is a newer project”等内容,其在BreachForums论坛发帖,署名TeamPCP [Co-Owner],其多款样本中也带有“TeamPCP Cloud stealer”字符串。
其组织、行动、工具历史命名情况如下表所示。
| 代号 | 代号类型 | 命名含义解析 | 核心使用场景 |
| TeamPCP | 组织主自称/社交平台代号 | PCP代指批量投毒、大规模污染软件供应链;Team代表团伙协同作战 | GitHub、攻击者论坛、悬赏挑战等公开活动 |
| PCPcat | 早期攻击代号 | PCP绑定组织标识,cat(猫)为攻击者圈常用隐蔽昵称 | 2025年12月React2Shell大规模npm供应链投毒行动 |
| DeadCatx3 | 工具 / 源码代号 | DeadCat(死猫)贴合暗黑攻击风格,x3 代表第三代工具变种 | 发布Mini Shai Hulud蠕虫源码、攻击工具的GitHub账号 |
| PersyPCP | 早期社交平台代号 | Persy取自Perseverance,寓意持续渗透、顽固潜伏;后缀绑定PCP主标识 | Telegram社交账号,发布攻击预告、悬赏公告、威胁情报 |
| ShellForce | 勒索攻击代号 | Shell代表系统后门/命令行,Force代表暴力入侵,凸显入侵与威慑属性 | 数据泄露、勒索攻击场景 |
| UNC6780 | 厂商溯源编号 | UNC为微软威胁情报体系中非国家背景网络犯罪组织专属编号,6780为分配ID | 微软、谷歌等安全厂商内部溯源与报告标注 |
1.2 组织核心攻击特点
结合本次捕获的攻击样本、公开攻击事件及安全情报分析,TeamPCP区别于传统网络攻击团伙,具备鲜明的新型供应链攻击特征,核心特点整理如下表。
| 核心特点 | 通俗释义 |
| 专攻软件供应链 | 不开展常规钓鱼攻击,聚焦GitHub、npm、PyPI、CI/CD流水线等开发设施,单点突破即可波及海量下游项目 |
| 以窃取高权限凭据为核心 | 重点窃取GitHub令牌、云平台密钥、API密钥等,权限远高于普通账号密码 |
| 深度利用CI/CD自动化流程 | 劫持代码构建、发布流水线,实现恶意代码自动植入与分发,攻击扩散速度极快 |
| 快进快出式攻击模式 | 获取权限后快速窃取凭据、扩散恶意代码并撤离,适配云令牌短时效特性,规避溯源 |
| 攻击能力公开化扩散 | 主动公开蠕虫源码、发起悬赏竞赛,鼓励全球攻击者协同,持续扩大攻击范围 |
| 攻击收益模式多元化 | 自主攻击牟利,同时转售窃取的云权限、仓库权限,形成完整收益闭环 |
| 聚焦AI相关开发生态 | 优先攻击AI框架、大模型代理、Python AI依赖包、AI插件等新兴组件 |
1.3 关键攻击事件与样本规模
TeamPCP自2025年底活跃以来,已累计发起20余波规模化、跨生态供应链攻击,恶意活动覆盖npm、PyPI、GitHub Actions、VSCode扩展、CI/CD流水线等主流开发基础设施,累计污染500余个开源软件包与工具组件,整体恶意样本数量达数百至千级。其中影响最广的Mini Shai Hulud 蠕虫攻击,仅单轮投放就污染323个独立软件包、生成639个恶意版本,在短时间内形成大规模扩散态势,对全球开源生态造成持续性威胁。
该组织标志性攻击事件呈现清晰的战术演进路径:早期以针对单一开发工具的定向投毒为主,逐步升级为公开武器化、悬赏激励、自动化批量攻击的高阶模式。典型事件包括:成功入侵Trivy 安全工具发布流程,通过篡改 CI/CD 流水线实现代码投毒与密钥窃取;针对 AI 开发生态实施 LiteLLM 组件污染,重点窃取云平台 API 密钥与容器环境凭据;突破 TanStack 项目防护体系,在真实攻击场景中首次攻破 SLSA Build Level 3 供应链安全信任模型;主动公开 Shai Hulud 蠕虫完整源码与使用说明,降低攻击门槛并推动威胁能力扩散;联合 BreachForums 攻击者论坛发起悬赏破坏竞赛,以高额激励吸引全球攻击者参与;发动代号 Megalodon 的自动化攻击,在短时间内向数千个 GitHub 仓库批量推送恶意提交,实现无差别化供应链污染。整体来看,TeamPCP 的攻击活动具备高频次、规模化、公开化、自动化特征,已形成完整的攻击闭环与扩散体系。
1.4 攻击载荷的AI辅助生成情况
针对 TeamPCP 发布的数千个 Shai Hulud 系列蠕虫样本,经安全情报核验:恶意脚本存在 AI 辅助生成痕迹,但核心攻击逻辑由人工设计实现。
从样本细节来看,蠕虫早期 Bash 脚本包含大量 AI 生成特征,如冗余注释、表情符号、格式化文本等,安全厂商以中等置信度判定该部分内容由大语言模型(LLM)辅助生成;而攻击链设计、凭据窃取逻辑、CI/CD 漏洞利用、蠕虫传播策略等核心功能模块,均为攻击者人工定制开发。
在蠕虫源码公开后,全球攻击者基于原始代码二次修改衍生大量变种样本,此类衍生样本不属于 TeamPCP 原生开发范畴。
二、TeamPCP 核心攻击事件与战术演进
2.1 TeamPCP的崛起与演进
要理解TeamPCP行动的地缘政治含义,必须首先把握其技术演进路径。该组织的攻击活动并非孤立事件,而是一条从2025年9月延续至2026年5月的渐进式升级链条。本章将TeamPCP的崛起历程、关键转折点,以及Mini Shai-Hulud和Megalodon两波协同攻击置于统一框架下进行分析。
TeamPCP自2025年下半年开始活跃,其早期活动以针对CI/CD管道和npm生态系统的供应链攻击为主,但真正引起全球关注的是2025年12月的React2Shell大规模行动。
| 时间 | 事件 | 影响规模 |
| 2025-09-08 | Chalk/Debug加密劫持攻击 | 18+包,20亿+周下载量 |
| 2025-09-14 | Shai-Hulud蠕虫初现 | 517+包 |
| 2025-11-24 | "Second Coming"虚假Bun运行时 | 1,100+包 |
| 2026-03-19 | Trivy扫描器供应链攻破 | 几乎所有版本被污染 |
| 2026-05-11 | Mini Shai-Hulud / TanStack | 408+包,首次跨PyPI生态 |
| 2026-05-12 | Shai-Hulud源码公开(MIT许可证) | 攻击能力扩散里程碑 |
| 2026-05-12 | BreachForums悬赏$1,000 | 鼓励第三方复用攻击工具 |
| 2026-05-18 | Megalodon行动 | 5,561仓库被植入后门 |
| 2026-05-19 | Mini Shai-Hulud / AntV (atool) | 643版本,323个恶意包 |
| 2026-05-19 | durabletask PyPI蠕虫 | Rope/Koschei载荷传播 |
| 2026-05-20 | Web3/DeFi MCP钓鱼 | 10个恶意包 |
| 2026-05-21 | Polymarket钱包盗取 | 9个恶意包 |
关键转折点发生在2026年5月12日。TeamPCP在GitHub上以MIT许可证公开了Shai-Hulud蠕虫的完整源代码,并在BreachForums发起奖金$1,000的“破坏竞赛”。这行为带来了多个层面的影响:
攻击门槛低成本化:开源代码和使用文档降低了技术门槛;
溯源干扰:大量攻击者进场,难以区分原始攻击者和模仿者。
2.2 Mini Shai-Hulud:供应链的"击穿点"
2026 年 5 月 11 日,TeamPCP 组织在 6 分钟内向 npm 包仓库上传 84 个恶意代码包,定向污染知名开源项目 TanStack 旗下的 42 个工具包。攻击者通过劫持 TanStack 官方 CI/CD 流水线,窃取 GitHub 平台 OIDC 身份令牌,生成符合 SLSA Build Level 3 标准的软件供应链安全证明,使恶意包获得与官方发布完全一致的可信背书。这是公开报道中,首次在真实攻击场景下突破 SLSA Build Level 3 级可信认证体系的供应链投毒事件。
本次攻击的核心技术要点如下:
SLSA Build Level 3 安全机制
SLSA(Supply-chain Levels for Software Artifacts)是软件供应链安全领域的通用框架,Build Level 3 为当前主流高级别可信认证标准。该级别要求软件包由官方构建工具自动生成不可篡改的来源证明,并经平台校验,确保代码包为正规渠道发布、未被篡改。
攻击突破逻辑
本次攻击未伪造或篡改证明文件,而是直接控制生成证明的官方 CI/CD 流水线及对应 OIDC 令牌,利用被劫持的合法身份生成合规 SLSA 证明,使恶意包在下游验证环节无法被传统机制识别,实现 “合法投毒”。
高危漏洞链利用(CVE-2026-45321,CVSS 9.6)
攻击通过组合利用 3 个 GitHub 平台漏洞形成高危漏洞链,关键步骤包括:
pull_request_target触发器滥用:利用该触发器的权限特性,使外部提交的代码获得仓库修改权限;
CI/CD 缓存投毒:将恶意代码注入流水线构建缓存,使其在后续构建流程中被加载执行。
窃取 OIDC 令牌:从运行进程里直接窃取官方身份通行证。
2.3 Megalodon:六小时五千个提交的"沙尘暴"
Mini Shai-Hulud攻击类似精准制导模式,那么5月18日的Megalodon行动则是地毯式轰炸模式。在11:36至17:48 UTC的六小时内,TeamPCP向5,561个不同的GitHub仓库推送了5,718个恶意提交。攻击者使用随机8字符的GitHub一次性账户,伪造提交作者为build-bot、ci-bot等自动化身份,提交信息伪装成常规CI维护。
Megalodon的payload直接注入GitHub Actions工作流文件,包含base64编码的bash脚本,专门窃取CI密钥、云凭据、SSH密钥、OIDC令牌和源代码密钥。两个变体尤为危险:SysDiag在每次push时触发,Optimize-Build则使用workflow_dispatch保持休眠。更值得关注的是,TeamPCP通过投毒的Nx Console VS Code扩展感染了GitHub员工设备,导致约3,800个GitHub内部仓库被exfiltrate,随后开价$50,000美元出售。
| 特性 | SysDiag(大规模) | Optimize-Build(定向) |
| 触发条件 | push(所有分支)+ pull_request_target | workflow_dispatch(按需触发) |
| 效果 | 每次推送/PR自动执行 | 攻击者可通过GitHub API远程触发 |
| 目标 | 大规模广撒网 | 定向持久化留后门 |
| 权限请求 | id-token: write, actions: read | 同左侧 |
2.4 两波攻击的协同逻辑
Mini Shai-Hulud和Megalodon并非两起独立行动,而是针对AI开发者供应链两个不同层面的协同打击。第一波攻击包注册表(npm/PyPI),在依赖安装阶段植入恶意代码;第二波攻击CI/CD基础设施(GitHub Actions),在构建执行阶段窃取密钥。两者共同覆盖了从依赖安装到工作流执行的完整软件交付生命周期,且都在AI编码工具(包括Claude Code和VS Code)中安装了持久化钩子。
CSA研究指出,这种分层打击模式表明攻击者对AI开发者生态有深入理解——AI框架、模型集成库和开发工具在现代软件生产中占据独特特权位置,既能在开发阶段访问源代码和密钥,其输出又直接部署到AI赋能的生产系统中。攻击者在这一层获得立足点,就同时获得了即时凭据访问和对下一代部署产物的持久化foothold。
三、样本对应的攻击技术与攻击分析
本次分析的5个样本是安天从TeamPCP系列攻击活动中捕获的数千个样本中精选的代表性样本,覆盖攻击链中不同阶段的典型载荷类型。分析部分基于安天AVLCode分析结果呈现。
表3-1 样本选择说明与总览
| MD5 | 类型 | 文件大小 | 攻击链角色 | 对应攻击波 |
| 04750ABA368EEB2890E74D10FA0A50A3 | PythonZIP | 28KB | 凭证聚合木马(stage-2) | durabletask PyPI蠕虫 |
| C5324C4ADA09288ECEBC42CFC9DB8A3F | npm包 | 22MB | 供应链感染载荷 | Mini Shai-Hulud AntV波 |
| C56E59EE44BF0D606353BDCED380166B | JS/TS | 5.4MB | 自复制蠕虫 | Mini Shai-Hulud TanStack波 |
| C1D01AC7A9FBEBDF96C8F3023E6EC877 | — | 25KB | Cloudware变体 | TeamPCP通用工具集 |
| ED9E80087326C349FBB90F2E90C5A691 | — | 25KB | Cloudware变体 | TeamPCP通用工具集 |
3.1 Rope/Koschei——凭证聚合木马
表3-2 仿冒PyPI包样本信息
| 病毒名称 | Trojan/Python.ShaiHuludSupplyChain |
| 原始文件名 | managed.pyz |
| MD5 | 04750ABA368EEB2890E74D10FA0A50A3 |
| 文件大小 | 28.03 KB (28,703字节) |
| 文件格式 | ZIP |
| CVERC协同分析结果 | 6 / 14 |
注:本次报告中的恶意样本检出结果,来源于国家计算机病毒应急处理中心(CVERC)运营的国家计算机病毒协同分析平台,该平台为国内权威的国家级恶意样本检测基础设施,检测结果具备官方核验效力。
样本为PYZ格式的打包Python程序,主要功能为窃取各类配置、凭据信息并回传至C2服务器。基于安天AVLCode智能体分析,该样本的总体结构如下:
图3-1 伪造PyPI包样本的模块架构(安天AVL Code智能体基于澜砥垂直模型分析生成)
文件类型:PythonZIP压缩包
检测名称:Rope/Koschei(来自SafeDep披露)
技术细节:
• 加密通信:使用AES-256-GCM加密载荷,RSA-OAEP进行密钥封装。这一组合确保了C2通信的机密性和完整性。
• C2协议:利用GitHubAPI作为C2信道(GitHubAPIC2),通过公共仓库的Issue、Release或Commit进行指令下发和数据外泄,使流量混入正常的GitHubAPI流量中,难以被网络检测设备识别。
• 凭证收集范围:
• AWS凭证(所有配置文件的访问密钥、秘密密钥、会话令牌)
• GCP访问令牌(通过gcloudauthprint-access-token)
• AzureIMDS端点元数据
• SSH私钥、Docker认证、.npmrc、.netrc
• Kubernetes配置、Vault令牌、Terraform凭证
• Shell历史记录
• 源代码中的30+种秘密正则模式(API密钥、数据库连接字符串、JWT、PEM私钥)
• 横向移动:通过AWSSSMSendCommand向最多5个EC2实例扩散,以及通过Kuberneteskubectlexec向最多5个Pod扩散。
• 持久化机制:安装pgsql-monitor.service(Linuxsystemd)和pgmonitor.py作为持久化守护进程。
Rope/Koschei是durabletaskPyPI蠕虫的stage-2载荷,作为PythonZIP压缩包(28KB)被投递到受害系统。该载荷采用AES-256-GCM加密通信,RSA-OAEP进行密钥封装,并利用GitHubAPI作为C2信道——通过公共仓库的Issue、Release或Commit进行指令下发和数据外泄,使流量混入正常的GitHubAPI流量中。
凭证收集范围极为广泛:AWS凭证(所有配置文件的访问密钥、秘密密钥、会话令牌)、GCP访问令牌、AzureIMDS端点元数据、SSH私钥、Docker认证、.npmrc、.netrc、Kubernetes配置、Vault令牌、Terraform凭证,以及源代码中的30+种秘密正则模式。横向移动能力包括通过AWSSSMSendCommand向最多5个EC2实例扩散,以及通过Kuberneteskubectlexec向最多5个Pod扩散。
3.2 @antv/li-sam-assets——npm供应链感染
表3-2 伪造npm包样本信息标签
| 病毒名称 | Worm/Script.Shulud |
| 原始文件名 | li-sam-assets-0.3.4.tgz |
| MD5 | C5324C4ADA09288ECEBC42CFC9DB8A3F |
| 文件大小 | 21.01 MB (22,031,009 字节) |
| 文件格式 | GZIP |
| CVERC协同分析结果 | 4/ 14 |
样本为伪造的npm包,其中package.json中的preinstall字段设置为执行恶意经混淆的脚本index.js,当用户安装该npm包时触发执行。主要功能为窃取各类配置、凭据信息并回传至C2服务器。基于安天AVLCode智能体分析,该样本的总体流程如下:
图3-2 伪造npm包攻击的完整攻击链(安天AVL Code智能体基于澜砥垂直模型分析生成)
文件类型:npm包(tgz格式)
攻击向量:preinstall钩子
技术细节:
• 感染机制:通过preinstall脚本在npminstall时自动执行,无需用户交互。这是npm生态系统中最高危的攻击向量之一。
• 混淆技术:使用自定义流密码(CustomStreamCipher)对payload进行混淆。逆向工程揭示的混淆算法包括:
• PBKDF2-HMAC-SHA256密钥派生(200,000轮迭代)
• 基于Fisher-Yates洗牌的自定义流密码
• 输出格式:混合IV(16字节)+密文
• 解密时需要先从输出中提取混合IV,再通过SHA256密钥派生恢复原始IV
• 凭证窃取目标:20+种凭证类型,包括GitHub/CI令牌、AWS密钥、GCP/Azure/Kubernetes服务账户、Vault令牌、SSH密钥、Docker凭证、数据库连接字符串
• 容器逃逸:通过Docker主机套接字尝试容器逃逸
• C2地址:t.m-kosche.com:443/api/public/otel/v1/traces(伪装为OpenTelemetry遥测端点)
• 信标字符串:niagAoGeWereH:duluH-iahS(字符反转的"Shai-Hulud:HereWeGoAgain")
该样本为npm包(tgz格式,22MB),通过preinstall钩子在npminstall时自动执行。混淆技术使用自定义流密码:PBKDF2-HMAC-SHA256密钥派生(200,000轮迭代)、基于Fisher-Yates洗牌的自定义流密码,输出格式为混合IV(16字节)+密文。C2地址伪装为OpenTelemetry遥测端点(t.m-kosche.com:443/api/public/otel/v1/traces),信标字符串为字符反转的"Shai-Hulud:HereWeGoAgain"。
3.3 MiniShai-Hulud——自复制蠕虫
表3-4 自复制蠕虫样本信息标签
| 病毒名称 | Worm/Script.Shulud |
| 原始文件名 | ShaiHulud.zip |
| MD5 | C56E59EE44BF0D606353BDCED380166B |
| 文件大小 | 5.18 MB (5,430,672 字节) |
| 文件格式 | ZIP |
| CVERC协同分析结果 | 7/ 14 |
该样本为具备凭证采集和自动感染npm包功能的Node.JS蠕虫脚本。基于安天AVLCode智能体分析,该样本的混淆技术及总体流程如下:
图3-3 蠕虫样本混淆技术线(安天AVL Code智能体基于澜砥垂直模型分析生成)
图3-4 蠕虫样本分析执行流程(安天AVL Code智能体基于澜砥垂直模型分析生成)
文件类型:JavaScript/TypeScript
攻击向量:TanStack发布管道攻破
技术细节:
• 传播方式:自复制——感染的包在安装后会尝试修改其他npm包并重新发布
• 安装钩子:使用prepare脚本(bun run tanstack_runner.js)
• 凭证范围:同上述20+种凭证类型
• 备用外泄通道:GitHub仓库创建(使用格式{dune-word}-{dune-word}-{0-999})
• 持久化:
• .claude/settings.json的SessionStart钩子
• .vscode/tasks.json的folderOpen任务
• 死灵开关守护进程:gh-token-monitor/kitty-monitor
• 死灵开关机制:如果被监控的GitHub令牌被撤销,守护进程将擦除受害主机。这是勒索级别的高危机制。
该样本通过TanStack发布管道攻破传播,使用prepare脚本(bun run tanstack_runner.js)触发执行。核心特征包括:自复制机制——感染的包在安装后会尝试修改其他npm包并重新发布;备用外泄通道——创建格式为{dune-word}-{dune-word}-{0-999}的GitHub仓库;以及死灵开关守护进程(gh-token-monitor/kitty-monitor)——如果被监控的GitHub令牌被撤销,守护进程将擦除受害主机。
3.4 Cloudware的两个木马变种
表3-5 Cloudware木马变种样本信息(一)
| 病毒名称 | Trojan/Python.ShaiHulud |
| 原始文件名 | transformers.pyz |
| MD5 | C1D01AC7A9FBEBDF96C8F3023E6EC877 |
| 文件大小 | 24.58 KB (25,166 字节) |
| 文件格式 | ZIP |
| CVERC协同分析结果 | 7/ 14 |
表3-6 Cloudware木马变种样本信息(二)
| 病毒名称 | Trojan/Python.ShaiHuludSupplyChain |
| 原始文件名 | transformers.pyz |
| MD5 | ED9E80087326C349FBB90F2E90C5A691 |
| 文件大小 | 24.57 KB (25,164 字节) |
| 文件格式 | ZIP |
| CVERC协同分析结果 | 8/ 14 |
该样本是一个伪装成transformers库的多阶段云凭证窃取器,目标是窃取环境中的密钥与敏感信息。基于安天AVLCode智能体分析,该样本的总体流程如下:
图3-5 Cloudware变体样本的整体架构(基于安天AVL Code智能体分析生成)
这两个样本是Shai-Hulud的Cloudware变体,在数万个捕获样本中属于相对低频出现的变体,但其存在本身证实了攻击者拥有活跃的武器开发和版本控制流程。它们与其他变体共享核心工具集,表明TeamPCP在持续迭代其恶意软件工具集。
四、“沙暴”投毒对应的威胁框架战术标注图谱
针对“沙暴”投毒攻击完整过程,安天梳理本次攻击对应的ATT&CK映射图谱如下图所示。其中主要覆盖侦察、资源开发、初始访问、执行、持久化、提权、防御规避、凭证访问、发现、横向移动、收集、命令与控制、数据渗出、影响等14个阶段,集中体现了攻击组织在软件供应链投毒、CI/CD流水线劫持、多类型凭证窃取、容器与云环境横向移动等关键技战术,完整还原了TeamPCP从前期资源整备到后期凭据回传与系统影响的攻击链路。
图4-1 “沙暴”投毒攻击ATT&CK战术标注
表4-1 “沙暴”投毒攻击ATT&CK技术行为描述表
| ATT&CK阶段/类别 | 具体行为 | 注释 |
| 侦察 | 搜集公开网站/域 | 爬取公开开源软件包信息 |
| 资源开发 | 获取基础设施、入侵账户、开发恶意代码、注册虚假账号、配置C2 | 注册域名服务器、入侵GitHub/npm账号、搭建攻击基础设施 |
| 初始访问 | 入侵供应链、利用有效账户 | npm/PyPI/GitHub投毒,复用窃取令牌 |
| 执行 | 云服务命令、脚本解释器、容器服务、GitHub Actions、CI/CD流水线 | 预执行钩子、流水线任务自动运行恶意代码 |
| 持久化 | 系统自启、篡改客户端配置、事件触发执行 | 部署systemd服务、篡改VS Code/Claude配置 |
| 提权 | 操纵访问令牌、利用漏洞提权 | 窃取OIDC令牌、滥用GitHub CI/CD漏洞 |
| 防御规避 | 仿冒身份、代码混淆、利用可信工具、复用合法账户 | 伪造提交者、自定义算法混淆载荷 |
| 凭证访问 | 读取密码配置、窃取令牌、伪造SLSA证明 | 批量窃取云、容器、CI/CD全类型凭据 |
| 发现 | 枚举账户、云服务、容器、文件、系统信息 | 全盘扫描本地敏感配置与密钥文件 |
| 横向移动 | 远程服务、容器管理工具 | 通过AWS SSM、kubectl跨主机/容器扩散 |
| 收集 | 加密压缩数据、自动采集敏感信息 | 批量收集各类凭据与源代码 |
| 命令与控制 | HTTPS通信、GitHub信道、Base64编码载荷 | 流量伪装为正常开发平台请求 |
| 数据渗出 | 自动外传、C2回传、Web服务中转 | 依托伪装信道外泄窃取数据 |
| 影响 | 损毁数据、注入恶意代码、钱包盗取 | 死灵开关销毁主机、Web3资产盗窃 |
五、样本关联与能力扩散验证
5.1 直接关联证据
通过SafeDep披露的CHANGELOGv3.4.2,确认了以下关键关联:durabletaskPyPI蠕虫(v1.4.1-1.4.3)的stage-2载荷rope.pyz正是样本04750ABA368EEB2890E74D10FA0A50A3;二级C2 t.m-kosche.com在durabletask蠕虫和MiniShai-HuludAntV波中同时使用;Slavic民间传说信标FIRESCALE、BABA-YAGA-KOSCHEI等出现在durabletask蠕虫的提交消息和外泄仓库中。
5.2 样本关联矩阵
| 样本A | 样本B | 关联关系 |
| 04750ABA368EEB2890E74D10FA0A50A3 Rope |
EF0EB6DCF4A8E97814A3E975B72B0D12 durabletaskPyPI |
stage-2payload关系 |
| EF0EB6DCF4A8E97814A3E975B72B0D12 durabletaskPyPI |
C5324C4ADA09288ECEBC42CFC9DB8A3F AntV |
共享C2:t.m-kosche.com |
| C5324C4ADA09288ECEBC42CFC9DB8A3F AntV |
C56E59EE44BF0D606353BDCED380166B Mini |
共享C2:t.m-kosche.com |
| C56E59EE44BF0D606353BDCED380166B Mini |
C1D01AC7A9FBEBDF96C8F3023E6EC877 Cloudv1 |
工具集重叠 |
| C1D01AC7A9FBEBDF96C8F3023E6EC877 Cloudv1 |
ED9E80087326C349FBB90F2E90C5A691 Cloudv2 |
Cloudware变体关系 |
5.3 能力扩散验证
从源码公开到实际武器化的时间线验证了能力扩散的有效性。5月12日源码公开当天,BreachForums悬赏竞赛同步启动;6天后(5月18日)Megalodon行动爆发;7天后(5月19日)AntV/atool波和durabletaskPyPI蠕虫同时出现;8天后Web3/DeFiMCP钓鱼;9天后Polymarket钱包盗取。6天内连续爆发5波攻击,表明源码公开后第三方迅速将其整合到自己的攻击工具链中。安天捕获的数千个相关样本中,绝大部分是在这波能力扩散后的产物。
| 日期 | 事件 | 距源码公开 |
| 2026-05-12 | Shai-Hulud源码公开(MIT许可证) | T+0 |
| 2026-05-12 | BreachForums悬赏$1,000 | T+0 |
| 2026-05-18 | Megalodon行动(5,561仓库) | T+6天 |
| 2026-05-19 | AntV/atool波(643版本) | T+7天 |
| 2026-05-19 | durabletaskPyPI蠕虫 | T+7天 |
| 2026-05-20 | Web3/DeFiMCP钓鱼 | T+8天 |
| 2026-05-21 | Polymarket钱包盗取 | T+9天 |
5.3 能力扩散验证
2026年5月12日源码公开+悬赏启动后,攻击快速扩散:T+6天爆发Megalodon行动,T+7天同步出现AntV恶意包与durabletask蠕虫,后续数日接连出现Web3钓鱼、钱包盗取等衍生攻击。短短9天内出现多波变种,证明源码公开后攻击能力被第三方快速复用、武器化。
六、多维度线索的 TeamPCP 溯源分析与威胁定位
TeamPCP是2025至2026年涌现的典型复合型高危威胁组织,融合了高级威胁团队的精细化运营能力与黑灰产规模化牟利特征。该组织攻击链路完整、反溯源能力成熟、跨团伙联动频繁,导致公开溯源线索零散、干扰特征多,行业尚未形成统一归因结论。综合多家安全厂商监测数据,当前有效溯源线索主要分为社交行为痕迹、C2基础设施生命周期、跨团伙协作模式三类。相较于普通黑灰产的随机作案特征,TeamPCP整体行为高度规整、可被情报持续捕获,同时伴随大量人为干扰痕迹。本小节从厂商实战角度,分层研判各线索的技术价值、可信层级与溯源局限性。
6.1 地域行为痕迹:肯尼亚关联特征与干扰性研判
Flare.io社交情报监测显示,TeamPCP主要依托Telegram社群开展运营、造势与数据交易。组织核心账号在长期社群交流、攻击预告、数据兜售公示中,高频提及非洲、肯尼亚地区政治、社会及政企相关话题,形成显著的地域话语特征。结合其核心GitHub资产DeadCatx3活动时序,该账号自2025年末持续更新渗透工具、漏洞利用脚本,与TeamPCP攻击启动周期高度吻合,形成“社交地域特征+核心资产时序”的关联线索。
在溯源体系中,社交地域痕迹属于弱关联线索,不具备归因定论效力。成熟高危团伙普遍具备地域伪装能力,可通过话术模拟、代理节点、定向话题运营伪造属地特征,干扰溯源判断。结合TeamPCP整体对抗水平,当前肯尼亚关联痕迹存在较高的人工伪造概率,仅可作为行为参考,无法作为组织归属依据。
6.2 基础设施特征:预置蛰伏与延时激活的专业化运营特征
Hunt.io基础设施溯源捕捉到TeamPCP最具辨识度的高级威胁特征,也是厂商区分普通黑灰产与专业化威胁团队的核心依据。普通牟利团伙多采用即时注册、即时使用、用完即弃的机会主义模式,基础设施生命周期短、部署随意、无前置规划。而TeamPCP呈现标准化、高可控的基础设施运营范式。
监测数据显示,TeamPCP核心C2子网83.142.209.0/24于2025年11月完成全链路部署,包含域名配置、端口调试、恶意程序挂载、终端权限管控等全套前置工作。资产部署完成后进入为期四个月的静默蛰伏期,全程无攻击流量、无操控行为、无数据传输,直至2026年3月正式激活并投入批量攻击。
该预置蛰伏、延时激活的运营模式,是团队专业化、作战体系化、攻击前置化的直接证据,完全区别于个体攻击者与临时团伙的随机攻击。特征表明TeamPCP具备稳定团队分工、长期作战规划与成熟基础设施运维能力,属于典型的有组织、可持续的高危威胁主体。
6.3 生态联动特征:跨团伙资源整合的混合型威胁架构
TeamPCP采用少见的混合型威胁架构,同时具备高级自主渗透能力与成熟黑灰产生态整合能力。该组织可独立完成漏洞利用、定向渗透、内网横向、数据窃取与加密勒索等全链路攻击流程,同时深度接入全球地下犯罪产业链,构建稳定的跨团伙协作网络。
目前已核实其长期合作的头部威胁主体包括:Vect勒索软件团队、Lapsus$数据泄露组织、BreachForums地下交易论坛、ShinyHunters数据窃取团伙。各方通过技术共享、资源互换、收益分成、交易渠道互通实现深度协作,有效补齐能力短板,大幅提升攻击规模与牟利效率。其大规模生态联动具备双重作用:业务层面,依托成熟地下产业链降低攻击成本,快速实现规模化勒索与数据变现;对抗层面,多团伙、多渠道、多特征的交叉捆绑,有效混淆自身行为指纹,抬高安全厂商溯源聚类与主体锁定的难度,属于典型的高级对抗运营策略。这种广泛的犯罪网络整合,既可以最大化经济收益,也为了溯源归因构造了噪音。
6.4 综合研判
综合地域痕迹、基础设施运营、生态联动三类线索,结合厂商实战研判经验,可明确TeamPCP组织画像:其并非个体攻击者或临时小团伙,而是一支技术能力高阶、对抗思维成熟、生态链路完整、具备长期运营规划的专业化复合型威胁团队。地域关联线索伪造风险高、归因效力弱;基础设施预置蛰伏、跨团伙生态整合为高可信度强特征,可真实反映其团队层级与作战能力。TeamPCP以商业牟利为核心诉求,同时高度注重隐蔽对抗,通过多重伪装与资源整合持续规避溯源与拦截,属于现阶段需长期重点监测的持续性高危威胁组织。
七、小结
TeamPCP 是自 2025 年底起正式活跃、短期内快速在全球软件供应链领域形成巨大威胁的新兴高危攻击组织。该团伙将攻击目标精准锁定 GitHub Actions、npm、CI/CD 流水线、云端开发环境等主流开发者生态体系,持续开展系统化、规模化的网络入侵与软件投毒行动。由于其攻击链路深度嵌入软件开发、包分发、代码调用等全流程,每一处被其突破的节点,都会随着软件分发、程序调用等正常业务流转不断向下游传导蔓延,最终形成链式传导、持续扩散的全域威胁效应。该组织的核心作案目标十分明确,以开发者工具供应链为主要入口,窃取各类高价值身份凭证为主,重点掠夺 GitHub 平台账号、云服务权限、身份令牌 Token、SA 账号、API 密钥等核心认证信息,批量掌控面向云原生、容器环境的横向移动入口,是聚焦非法获取“凭证资产”为核心目标的专业威胁行为体。
回溯传统软件供应链攻击,主流威胁组织普遍采用定向打击、长期潜伏、隐蔽渗透的作战思路,力求降低曝光度、延长攻击存活时间。而 TeamPCP 彻底颠覆了这一固有模式,创新打造出独有的“沙暴”式攻击范式。该组织不再追求单点突破的隐蔽性,转而全面覆盖式出击,并通过批量投毒尝试进入生态体系中的各类安全裂隙,借此大规模攫取黑产收益。在战术选择上,该团伙完全无视攻击节点的隐蔽生命周期,行事风格极为高调,不仅主动公开恶意程序源码,还通过发布悬赏任务等方式扩大攻击队伍、拓宽作案边界,同时刻意制造大量干扰信息,大幅提升安全厂商与溯源团队的追踪难度。
该攻击模式能够落地并快速发酵,与 AI 时代整体网络环境的变化密切相关。当前全域网络攻击暴露面持续扩大,全球开发者生态长期依托信任机制形成上下游分工协作模式,各主体间业务联动高效、交互频繁,这种行业固有运转特点,也成为整个 IT 体系难以规避的安全短板。与此同时,生成式人工智能成为 TeamPCP 提升攻击效率的重要助力,该组织全面借助 AI 能力辅助完成恶意代码编写、功能迭代等工作,从顶层攻击策略规划、反溯源技术落地,到各类溯源干扰内容构造,全环节均依托 AI 完成梳理、设计与优化,让攻击体系变得更加成熟、高效。
TeamPCP 早已超越单一攻击团队的范畴,它将自身的入侵能力转化为可流转、可复用、可交易、可租用的动态凭证资源池,主动对接勒索团伙、各类黑灰产势力开展跨界合作,逐步成长为黑灰产业中的上游威胁生态。当该攻击模式形成具备强示范效应、可循环增长的收益闭环后,其攻击活动便进入高速扩张阶段。继 RaaS、FaaS 攻击模式之后,TeamPCP 所发动的沙暴式供应链投毒,已然成为网络安全领域又一类具备范式级影响的全新威胁,也为全球软件供应链安全防护带来前所未有的严峻挑战。
[注]:本报告相关分析工作基于安天 AVL Code 智能体开展,接入澜砥人工智能模型生成结果,并以截图形式标注引用。报告中由大模型生成的文字内容,均已完成人工复核校对,特此说明。
附录A 报告样本IoC列表
| 类型 | 值 |
| 哈希 | ED9E80087326C349FBB90F2E90C5A691 |
| 哈希 | C1D01AC7A9FBEBDF96C8F3023E6EC877 |
| 哈希 | C56E59EE44BF0D606353BDCED380166B |
| 哈希 | C5324C4ADA09288ECEBC42CFC9DB8A3F |
| 哈希 | 04750ABA368EEB2890E74D10FA0A50A3 |
| C2域名 | t.m-kosche.com |
| C2域名 | check.git-service.com |
| IP | 83.142.209.194 |
注:受本次供应链投毒影响的npm、PyPI等开源软件包样本数量较多,受篇幅限制本文未逐一枚举,如需完整受影响包清单及详细样本数据,可联系安天CERT(cert@antiy.cn)。