深度分析 從被污染的 VSCode 外掛到 CanisterWorm:TeamPCP 的 CI/CD 憑證竊取與擴散路徑 TeamPCP發動長期軟體供應鏈攻擊,持續汙染開源工具並侵入開發生態。攻擊以被下毒的VSCode外掛與開發套件植入惡意程式,竊取憑證後自動發布惡意版本並透過蠕蟲擴散。影響已延燒至多家雲端服務與開發平台,衝擊開源信任與憑證治理。防護對策須從憑證輪換、CI/CD管控到包管理審核多面向強化。
