安全公司源代码遭窃，勒索团伙玩起"证据取决于你"

网络安全公司Trellix最近有点尴尬。这家由McAfee Enterprise和FireEye合并而来的全球安全巨头，确认自家源代码仓库被 unauthorized access 了。动手的是RansomHouse勒索团伙，人家已经大摇大摆地在暗网认领了这单"生意"。

事情曝光时间约在2026年5月2日。Trellix的反应倒是很快：发现入侵后立刻找来顶级取证专家，同时通知了执法部门。公司在官网声明里划了条重点："根据目前的调查，我们没有发现源代码发布或分发流程受到影响，也没有发现源代码被利用的证据。"

但RansomHouse显然不打算让Trellix这么轻松过关。这个勒索团伙在暗网泄密站点上正式点名Trellix，声称入侵发生在2026年4月17日。他们还甩出多张截图， reportedly 显示自己摸进了Trellix的内部服务和管理后台。至于到底偷了多少数据、是什么类型的数据，团伙闭口不谈——这是他们的老把戏了。

有意思的是，RansomHouse给这次入侵状态标注的是"Evidence Depends on You"。翻译过来就是：证据有没有、有多少，取决于你配不配合。这是该团伙标志性的施压手段，先晾着受害者，谈判破裂再把偷来的东西公开叫卖。

来认识一下这个对手。RansomHouse是个运作成熟的勒索软件即服务（RaaS）组织，手头有一款独特的勒索软件变种Mario ESXi。这款代码和泄露的Babuk勒索软件源代码有血缘关系，再配上一个叫MrAgent的工具，Windows和Linux虚拟化环境通吃。他们的典型打法是瞄准VMware ESXi基础设施，专挑域凭证薄弱、监控系统松懈的下手，拿到高权限后再慢慢折腾。

不过RansomHouse给自己的人设是"专业调解社区"——不玩解密那一套，直接卖数据删除服务。给钱？帮你把偷的东西"销毁"。不给？那就等着上暗网头条。

目前数据泄露的全貌还不清楚。Trellix没有确认除了源代码之外，企业数据或客户数据是否也被波及。初步调查显示，软件分发管道和面向客户的产品暂未发现被篡改的迹象。但"暂未"这两个字，在安全行业里向来让人坐立不安。

这件事的讽刺意味在于：专门保护别人的安全公司，自己的源代码被人摸走了。更深层的问题是，RansomHouse这类团伙越来越爱挑网络安全供应商下手。这些公司的专有源代码一旦被 weaponized，全球企业防御体系的连锁反应难以估量。攻击者不再砸你的前门，而是绕去供应商的后院——这条路径，最近两年已经被反复验证有效。