網路安全廠商Trellix上週五發布了一份簡短聲明，披露近期有攻擊者未經授權存取了「我們部分原始碼庫」。 Trellix並未透露具體是哪一部分程式碼遭到入侵，也未提供更多關於此攻擊的細節。

該公司在聲明中表示：“根據我們目前的調查，我們沒有發現任何證據表明我們的源代碼發布或分發流程受到影響，也沒有發現我們的源代碼被利用。作為我們對廣大安全社區的承諾，我們將在調查結束後酌情分享更多細節。”

Trellix表示，該公司已立即與「頂尖取證專家」合作調查此資料外洩事件，並已通知執法部門。但仍有許多疑問懸而未決，包括儲存庫的存放位置、入侵方式以及幕後黑手。

Dark Reading已聯繫Trellix尋求進一步置評，但該公司拒絕置評。

Trellix 資料外洩事件是近期影響網路安全產業的最新供應鏈攻擊事件。今年 3 月，一個名為 TeamPCP 的威脅組織破解了 Aqua Security 維護的開源掃描器 Trivy 和 CheckMarx 開發的開源程式碼分析工具 KICS。

在這兩起攻擊中，TeamPCP 攻擊者都以 GitHub Actions 工作流程為目標，推送了被篡改的開源工具版本。目前尚無跡象表明 TeamPCP 與 Trellix 資料外洩事件有關，也沒有任何攻擊者聲稱對攻擊負責。但無論攻擊者是誰，安全廠商的原始碼外洩都可能為下游客戶帶來重大風險。

安全供應鏈危機

在最近的 TeamPCP 攻擊中，該威脅組織利用在一次程式碼庫入侵中取得的 CI/CD 金鑰，入侵了其他組織的原始碼庫，並在持續的攻擊活動中多次重複此循環。 CI/CD 金鑰可能包括憑證、SSH 金鑰、發布簽章金鑰和 GitHub Action 令牌。

TeamPCP 並非唯一覬覦安全廠商代碼的威脅組織；2025 年 10 月，F5 Networks 披露，一個國家級黑客組織入侵了其產品開發環境，並獲取了該公司旗艦產品 BIG-IP 產品線的敏感數據，包括源代碼。 2022 年，Okta 和 LastPass 也遭遇了安全漏洞，攻擊者取得了產品原始碼。

目前尚不清楚 Trellix 的安全漏洞會對該公司及其客戶造成何種影響。

「風險取決於攻擊者實際獲取了哪些信息，以及他們是否能夠影響構建或發布流程，」Aikido Security 的研究員 Raphael Silva 告訴 Dark Reading。 「如果只是對程式碼庫的一部分進行唯讀訪問，下游客戶主要擔心的是，同樣的訪問權限是否也包括 CI/CD 訪問權限、簽名密鑰、軟體包發布憑證等。本質上，就是能夠修改最終用戶收到的內容。”

席爾瓦表示，幸運的是，根據Trellix目前公佈的信息，沒有跡象表明攻擊者獲得了那種類型的訪問權限。

不過，原始碼外洩可以揭示安全產品的佈局，例如控制項的位置以及偵測機制的設計方式。應用安全廠商Semgrep的創辦人兼執行長艾薩克·埃文斯表示，這類資訊可能會讓攻擊者占得先機。

埃文斯補充道：“即使漏洞已被檢測到，要移除攻擊者的訪問權限也並非易事。例如，在今年早些時候Aqua Security [Trivy]的安全漏洞事件中，即使防禦人員已收到警報，最初的防禦措施仍然允許攻擊者修改源代碼。”