安全供应商成了猎物——网络安全巨头被入侵

导语：网络安全巨头Trellix官方确认其源代码库遭到未经授权访问，RansomHouse勒索软件组织于5月7日在其暗网泄露网站公开承认攻击，并发布了据称是Trellix内部管理面板的截图作为证据。这家由McAfee Enterprise和FireEye合并而成的公司，正在为全球数十万政企客户的安全是否受到影响而焦头烂额。

一、事件概述

2026年5月初，全球知名网络安全厂商Trellix发布官方声明，承认其源代码库（source code repository）遭到了未经授权的访问。声明称，公司”最近发现”其源代码环境存在未授权访问行为，发现后立即与顶级取证专家展开调查，并已通知执法部门。

截至目前，Trellix官方尚未披露攻击发生的精确时间、攻击入口以及攻击者身份。但声明中特别强调：“根据目前的调查结果，我们没有发现任何证据表明我们的源代码发布或分发流程受到影响，或者源代码本身已被利用。”

然而，事件的走向很快超出了Trellix最初的预期。

二、攻击者浮出水面——RansomHouse登场

2026年5月7日，臭名昭著的勒索软件组织RansomHouse在其暗网泄露网站上正式将Trellix列入受害者名单，并发布了多张据称是Trellix内部系统管理面板的截图，以此证明入侵的真实性。

RansomHouse在其泄露网站上使用了标志性的战术——“Evidence Depends on You”（证据取决于你）。这句话是RansomHouse惯用的施压手段：暗示受害者如果想阻止数据公开，唯一的出路就是支付赎金。这不是加密文件的恐吓，而是赤裸裸的数据勒索——他们不锁你的系统，但他们可以把你的源码、你的秘密全盘托出给全世界看。

从截图内容来看，RansomHouse展示的据称是Trellix的内部服务面板和管理控制台界面，但具体窃取了多少数据、数据的敏感程度如何，目前尚无定论。Cybersecurity News的报道进一步指出，RansomHouse声称入侵发生在2026年4月17日左右，这意味着攻击者在其暗网泄露网站发布Trellix名单之前，已经潜伏了约三周时间。

三、Trellix：安全公司被”黑”意味着什么？

理解这次事件的严重性，首先要搞清楚Trellix是谁。

目前，Trellix的安全解决方案保护着全球数万个政府和企业组织，号称守护着数亿台系统。

从攻击者的角度来看，Trellix的源代码意味着什么？

• 漏洞挖掘金矿：攻击者可深入研究代码逻辑，寻找尚未公开的漏洞
• 绕过检测的蓝图：了解Trellix产品的检测机制，针对性构造免杀手段
• 供应链攻击入口：若代码分发流程被污染，将影响数以万计的客户
• 商业情报暴利：竞争对手或国家级攻击者均可从中获益

安全厂商被攻破从来都不是小事——你雇佣一家安全公司来保护你的网络，结果连他们的代码都被偷了，你的信任还剩下什么？

四、RansomHouse是谁？

RansomHouse是一个于2021年底浮出水面的网络勒索组织，其最大特色在于与传统勒索软件的差异化定位。

“我们不是勒索软件，我们是专业调解人”——这是RansomHouse的自我标榜。不同于LockBit、BlackCat等传统勒索组织，RansomHouse通常不加密受害者的文件，而是专注于窃取敏感数据，然后以公开泄露作为威胁来勒索赎金。这种模式省去了加密带来的技术复杂度，也降低了攻击操作的暴露风险。

RansomHouse的核心攻击武器是Mario ESXi勒索软件变种，据称其代码谱系可追溯到被泄露的Babuk勒索软件源码。配合名为MrAgent的工具，该组织可同时针对Windows和Linux虚拟化环境发起攻击，VMware ESXi基础设施是其重点目标。典型入侵路径包括：弱域凭证 + 监控系统漏洞 → 获取特权访问 → 数据窃取 → 暗网施压。

RansomHouse的攻击足迹遍布全球，此前已对AMD、Shoprite、多家医疗机构、零售商、政府机构及关键基础设施运营商发起攻击。

五、溯源与影响评估

综合多家媒体的报道，事件的时间线大致如下：

目前尚未明确的几个关键问题：

• 入侵入口是什么？ 是供应链攻击、内部凭证泄露、还是零日漏洞利用？Trellix并未披露。
• 窃取数据规模有多大？ 是”部分”源码，还是包括了客户数据、内部凭据、密钥等？
• 代码是否已被利用？ Trellix声称”无证据”，但在攻击者潜伏三周的窗口期内，谁敢打包票？

对于一家安全厂商而言，源代码泄露和客户数据泄露是两回事。Trellix强调发布流程未受影响，这在短期内是个好消息——意味着被篡改的二进制文件没有流向客户。但源代码泄露本身已是核弹级别的安全事件：攻击者不需要修改你的代码，他们只需要研究它。

六、行业背景与同类事件

Trellix事件并非孤例，实际上它已经成了近期”安全厂商自身被攻破”趋势的最新案例：

• Checkmarx：内部GitHub环境被LAPSUS$泄露数据
• Cisco：攻击者通过内部开发环境获取源代码，与Trivy工具供应链攻击有关
• HackerOne：外部服务商Navia被攻破，导致员工数据泄露

安全厂商正成为攻击者眼中的高价值目标。原因很简单：攻击一家安全公司的回报率远高于攻击普通企业——你不仅获得了一家公司的数据，还获得了这家公司产品保护机制的”反汇编说明书”。

Techzine Global在报道中指出，由于Trellix服务对象覆盖全球政企客户，此次事件的影响范围可能远超公司本身。如果窃取的源码中包含可供武器化的漏洞信息，后果将难以估量。

七、总结

Trellix源代码泄露事件揭示了一个残酷的现实：在高级攻击者面前，没有哪家安全公司是绝对安全的。RansomHouse以不加密、纯数据勒索的模式，将这场入侵变成了一场公开的数据拍卖——Trellix现在站在了谈判桌的两端，一边是取证专家和法律程序，另一边是一个随时可以将代码公之于众的对手。

对于Trellix的客户而言，目前能做的最务实的事情是：审查与Trellix产品的集成点、审计内部网络流量中与Trellix组件相关的通信、加强对第三方安全工具供应链的监控。毕竟，当你的安全供应商自己都成了猎物，篱笆里已经不安全了。