LAPSUS$ 卷土重来？黑客组织声称攻破阿斯利康，3GB 数据待售

最近网络安全圈又出了个大新闻——一个自称 LAPSUS$ 的黑客组织对外宣称，他们拿下了全球制药巨头阿斯利康（AstraZeneca）的内部系统，手握大约 3GB 数据，正在暗网上寻找买家。

这事儿目前还没有得到阿斯利康官方确认，但泄露的样本数据已经被安全媒体 Hackread.com 拿到并做了详细分析。下面把我们看到的情况梳理一下。

LAPSUS$ 是什么来头？

如果你关注过前几年的安全事件，大概率听过这个名字。LAPSUS$ 最早在 2021-2022 年间频繁出镜，先后入侵过 Okta、微软、英伟达、三星等一众科技巨头，作案手法主要是通过购买内部员工凭证或社会工程学拿到初始访问权限，然后在企业内网横向移动。

该组织的核心成员后来被确认是来自英国牛津的几名青少年，其中主犯在 2023 年被英国法院定罪。但"组织被打掉"和"品牌被冒用"是两回事——如今网络犯罪论坛上，任何人都可以打着 LAPSUS$ 的旗号搞事情。

所以这次到底是"真·LAPSUS$ 卷土重来"还是有人蹭名号，目前还不好说。

这次声称窃取了什么？

根据该组织在暗网论坛和其自建网站上发布的信息，他们声称拿到了以下数据：

• 员工信息数据集
• 完整源代码（Java、Angular、Python）
• 密钥和访问凭证（私钥、Vault 数据）
• 云基础设施配置（AWS、Azure、Terraform）

数据被打包成 .tar.gz 格式，总量约 3GB。为了证明"货是真的"，黑客还主动放出了部分样本文件供潜在买家验货。

样本分析：三块数据，真假掺半

Hackread.com 对泄露的样本做了逐一审查，发现样本分为三类，真实性和敏感程度各不相同。

GitHub Enterprise 用户数据

第一份样本是 GitHub Enterprise 环境的导出记录，字段相当完整——员工姓名、成本中心、许可证类型、企业角色权限、双因素认证状态、GitHub 用户名，甚至组织中 Owner/Member 的角色分配都有。

从数据结构来看，这跟真实的 GitHub Enterprise 导出格式高度吻合。多个内部组织中的角色映射非常详细，不太像是公开信息爬取拼凑出来的。而且大量账户在多个仓库里持有 Owner 权限——如果这些是真的，那杀伤力不小，相当于内部权限架构图直接暴露给了攻击者。

承包商与第三方访问记录

第二份数据集记录了外部合作方的访问请求和入职流程，涉及 IQVIA、Parexel、Labcorp 等知名医药行业服务商。字段包括内部用户 ID、全名、邮箱、内部团队审批评论、Confluence 系统访问状态等。

里面还夹带着内部人员之间的沟通记录——这种带有工作痕迹的数据，伪造的难度和成本都比较高。如果属实，承包商关系网和内部访问体系就等于公开了，钓鱼攻击和社会工程学可以精准到人。

通用金融统计数据

第三份数据集就比较水了，是一些标注为"全行业"的统计信息——资产、薪资、总收入、支出之类的宏观数字。跟阿斯利康基本没什么直接关系，更像是公开渠道能查到的行业统计。

这块大概率是用来凑数据量的，不排除是故意混进去混淆判断的。

数据敏感性一览

把三类数据放在一起对比看：

值得注意的是，虽然黑客声称手里有"密钥和访问凭证"，但在已公开的样本里并没有看到这类内容。到底是手里真有货没放出来，还是在虚张声势拉高价格，目前无法判断。

企业安全团队可以关注什么

不管这次事件的最终定论如何，对于企业安全从业者来说，有几个点值得留心：

1. GitHub 权限审计别偷懒

很多企业的 GitHub Enterprise 里，Owner 权限分配过于宽松。定期做一次权限梳理，确认谁真的需要什么级别的访问权限，这是基本功。

2. 第三方访问管理要收紧

承包商和外部合作方的访问权限往往是最容易被忽视的薄弱环节。最小权限原则说起来简单，执行的时候经常打折扣。

3. 云凭证轮换制度化

如果这次黑客真的拿到了 AWS、Azure 的配置信息，影响会比源代码泄露更严重。云凭证的定期轮换不能只停留在纸面上。

4. 制定好应急响应预案

数据泄露事件的黄金响应时间窗口很短。提前想好"如果我们的 GitHub 数据泄露了，第一步做什么、第二步做什么"，比事发后临时抱佛脚要有效得多。

目前状态

截至发稿，阿斯利康方面尚未就此事做出公开回应。媒体已经联系了阿斯利康请求置评，后续有消息会持续跟进更新。

暗网论坛上的身份归属一向不太靠谱——LAPSUS$ 这个牌子谁都能用。但无论这次是真的"品牌复活"还是有人借壳，样本中涉及的数据如果属实，对企业安全的警示意义是实打实的。