Trellix 已确认未经授权的访问其源代码存储库的一部分,而 RansomHouse 勒索组织已声称对此事件负责。这家网络安全公司表示,其调查尚未发现其源代码发布流程、分发渠道或产品受到影响的证据。
该公司表示,在发现未经授权的访问行为后,它聘请了法医专家,并通知了执法部门。 Trellix 还表示,计划在调查完成后分享更多细节。
RansomHouse 随后在其泄露网站上列出了 Trellix,并发布了似乎显示了对内部系统的访问的屏幕截图。 Trellix 尚未公开证实 RansomHouse 是此次入侵的幕后黑手,仅表示已了解这些指控并正在调查这些指控。
Trellix 的公开声明很简短但很重要。它确认了对部分源代码存储库的未经授权的访问,但没有描述确切的存储库、访问的代码量、攻击方法或是否复制了任何数据。
该公司还表示,没有发现任何证据表明源代码发布或分发过程受到影响。这很重要,因为受损的软件管道会给客户带来更大的风险。
到目前为止,Trellix 尚未表示客户系统、客户数据、产品更新或部署的软件受到该事件的影响。
一目了然
| 类别 | 细节 |
|---|---|
| 受影响的公司 | 特雷利克斯 |
| 事件类型 | 未经授权访问部分源代码存储库 |
| 公司回应 | 法医专家参与并通知执法部门 |
| 勒索软件团体声称 | RansomHouse 声称对此负责,并将 Trellix 列在其泄露网站上 |
| 声称入侵日期 | 2026 年 4 月 17 日 |
| 分布影响 | Trellix 表示,没有发现任何证据表明发布或分发过程受到影响 |
| 剥削影响 | Trellix 表示没有发现任何证据表明源代码已被利用 |
| 调查情况 | 进行中 |
RansomHouse 的主张是什么
RansomHouse 声称入侵发生在 4 月 17 日,并表示该事件涉及数据加密。该组织还在其勒索门户网站上发布了图像作为访问证据。
据报道,屏幕截图显示了对 Trellix 相关内部系统的访问,包括设备管理系统。仅凭屏幕截图并不能确定完整的访问范围,因此真正的影响取决于取证结果。
RansomHouse 没有公开提供明确的数据量或被盗文件的完整列表。这留下了几个主要问题,包括源代码是否被复制、其他内部系统是否被访问以及是否有任何非代码数据被暴露。
为什么源代码访问很重要
即使攻击者不直接更改产品,源代码也可能是敏感的。它可以帮助犯罪分子研究软件的工作原理、搜索漏洞、了解内部防御或计划未来的攻击。
最大的客户风险来自于篡改构建或发布过程。特雷利克斯 说到目前为止,它还没有发现任何证据,这降低了对有毒更新的直接担忧。
尽管如此,源代码暴露仍会带来长期风险。安全供应商通常拥有攻击者可能想要研究的宝贵知识产权、检测逻辑、产品架构细节和内部工程知识。
客户应该注意什么
- 请关注 Trellix 公告和客户通讯以获取更新。
- 确认 Trellix 产品仅通过官方渠道更新。
- 查看产品更新策略和软件完整性控制。
- 监控涉及 Trellix 基础设施或管理控制台的异常警报。
- 查看对 Trellix 门户、支持帐户和管理员帐户的访问权限。
- 在所有安全供应商门户上启用多重身份验证。
- 留意提及违规行为或声称提供紧急更新的网络钓鱼尝试。
- 避免从非官方来源下载 Trellix 相关的补丁或工具。
赎金屋背景
RansomHouse 自 2022 年以来一直作为数据勒索组织运作。该组织在泄密门户上列出受害者,并威胁发布或出售窃取的数据,向组织施压。
随着时间的推移,该小组还与更先进的工具联系在一起。它的工具包包括 Mario(一种加密实用程序)和 MrAgent(一种用于自动攻击 VMware ESXi 虚拟机管理程序的工具)。
这使得 Trellix 的声明在源代码角度之外引人注目。出现在勒索门户上的网络安全供应商甚至在技术事实完全公开之前就为攻击者提供了曝光并施加压力。
为什么网络安全供应商违规行为影响很大
安全供应商拥有保护许多其他组织的工具、遥测、研究和产品代码。这使得它们成为勒索软件团体和间谍活动者的有吸引力的目标。
安全公司的违规行为也会引发信任问题。客户想知道供应商自己的系统、构建管道、支持门户、更新服务器和检测内容是否仍然受到保护。
Trellix 的第一份声明重点关注根据迄今为止的调查,其发布和分发过程并未受到影响。未来的更新很重要,因为它们应该澄清范围、访问路径以及所需的任何客户操作。
未解答的关键问题
- 攻击者如何访问源代码存储库?
- 未经授权的访问持续了多长时间?
- 是否复制或仅访问过任何源代码?
- 攻击者是否到达了源代码存储库之外的系统?
- RansomHouse 的屏幕截图是否与同一事件有关?
- 加密是否影响任何 Trellix 系统?
- 客户是否需要轮换凭证、更新产品或检查配置?
Trellix 接下来应该澄清什么
最有用的下一次更新将在不暴露敏感调查细节的情况下解释范围。客户需要知道该事件是否仅限于源代码访问或涉及更广泛的内部基础设施。
Trellix 还应澄清是否涉及任何凭证、签名密钥、CI/CD 系统、发布自动化、产品存储库、支持系统或面向客户的门户。
明确的客户指导将有助于减少投机行为。即使不需要客户采取任何行动,直接说明这一点也将有助于安全团队更快地完成内部风险审查。
概括
- Trellix 证实对其部分源代码存储库进行了未经授权的访问。
- 该公司聘请了法医专家并通知了执法部门。
- Trellix 表示,没有发现任何证据表明源代码发布或分发过程受到影响。
- RansomHouse 随后声称对此负责,并将 Trellix 列在其泄露网站上。
- 该组织声称此次入侵发生在 4 月 17 日,涉及数据加密。
- 被访问或被盗数据的全部范围仍不清楚。
- 客户应遵循官方 Trellix 更新并避免非官方补丁或以违规为主题的网络钓鱼消息。
FAQ
Trelix 是否遭到破坏?
是的。 Trellix 证实对其部分源代码存储库进行了未经授权的访问。
RansomHouse 是否攻击了 Trellix?x
RansomHouse 声称对此负责,并将 Trellix 列在其泄露网站上。 Trellix 表示已了解这些指控并正在对此进行调查。
Trellix 软件分发是否受到损害?
Trellix 表示,其调查没有发现任何证据表明其源代码发布或分发过程受到影响。
Trellix 源代码是否被利用?
Trellix 表示,没有发现任何证据表明其源代码已被利用。
Trellix 客户应该采取行动吗?
客户应监控官方 Trellix 更新,确认他们仅使用官方更新渠道,检查管理员访问权限,并留意提及该事件的网络钓鱼尝试。