欧盟委员会栽了：30个机构数据被一锅端，黑客用的工具你每天都在用

3月27日，欧盟委员会公开承认自家云环境被黑。从入侵到发现，整整5天没人察觉。等安全团队反应过来，30个欧盟机构的数据已经躺在暗网上了。

这不是什么国家级APT组织的杰作，而是一个叫TeamPCP的网络犯罪团伙，用了一套你我在GitHub上随手就能下载的开源工具。

一条API密钥的漂流：从供应链到云核心

攻击起点要追溯到更早的Trivy供应链攻击。Trivy是一款流行的开源漏洞扫描工具，开发者用来检查容器镜像里的安全问题。TeamPCP在这上面动了手脚，偷到了一把AWS API密钥——而且带管理权限。

3月10日，他们用这把钥匙打开了欧盟委员会的亚马逊云账户大门。接下来的操作堪称"开源工具教学片"：先用TruffleHog扫描更多凭证，然后新建访问密钥挂到现有用户名下躲避检测，最后大摇大摆地做侦察、拖数据。

TruffleHog这工具，本意是帮工程师发现代码库里不小心泄露的密码。现在成了黑客的自动挖矿机。

欧盟委员会的网络安全运营中心直到3月24日才收到警报，此时距离初始入侵已过去5天。3月26日，委员会正式通知CERT-EU（欧盟网络安全服务机构）。一天后，BleepingComputer找上门求证，委员会才公开披露。

90GB压缩包里的真相：5万多封邮件被扒光

3月28日，数据勒索组织ShinyHunters在暗网发布了这个数据集：90GB压缩包，解压后约340GB。里面有什么？CERT-EU周四的通报给出了具体数字：

至少51,992份与外发邮件通信相关的文件，总计2.22GB。涉及71个Europa网页托管服务客户——其中42个是欧盟委员会内部客户，至少29个是其他欧盟机构。

数据类型包括姓名、姓氏、用户名、邮箱地址，以及邮件内容本身。CERT-EU确认，这些个人信息主要来自欧盟委员会网站，但"可能涉及多个欧盟机构的用户"。

TeamPCP不是新手。这个团伙专门盯着开发者基础设施下手：GitHub、PyPI、NPM、Docker Hub都中过招。他们还篡改过LiteLLM的PyPI包，植入"TeamPCP Cloud Stealer"信息窃取木马，影响了数万台设备。

换句话说，你的pip install或npm install，可能就是他们的投递渠道。

云安全的尴尬现实：权限管理仍是最大盲区

这起事件暴露的问题很老套，但一直没解决。一把从供应链偷来的API密钥，为什么能跨账户管理？欧盟委员会的AWS权限架构显然没有做好隔离。TruffleHog这类凭证扫描工具的存在，本身就说明密钥硬编码、权限过度授予是行业通病。

更讽刺的是检测滞后。5天的 dwell time（驻留时间），足够黑客做完侦察、横向移动、数据打包全套流程。云环境的日志量巨大，但如果没有针对API异常调用的实时监控，海量日志只是昂贵的存储负担。

TeamPCP的攻击路径并不复杂：偷密钥→扫更多密钥→伪装持久化→拖数据。每一步都是已知手法，但组合起来就绕过了欧盟委员会的安全运营中心。

ShinyHunters的介入也值得关注。这个勒索团伙以贩卖数据闻名，2020年曾声称黑入微软GitHub账户（后被否认），2021年出售过1.29亿条印度驾照记录。他们现在成了TeamPCP的变现渠道——技术团伙负责入侵，勒索团伙负责施压，分工越来越像正经商业合作。

欧盟委员会表示正在通知受影响个人和机构。但340GB的数据一旦流出，撤回是不可能的。暗网上的90GB压缩包，现在谁都能下载研究。

你的开发环境里，有多少把钥匙能打开别人家的门？