2025-02-04 | 周峻佑
資安業者Positive Technologies揭露鎖定Python開發人員的攻擊行動,攻擊者聲稱提供DeepSeek相關的PyPI套件,引誘開發人員安裝、執行,從而竊取開發環境裡的機敏資料。
中國AI工具DeepSeek爆紅引起各界關注,有歹徒趁機利用其名號來散布惡意軟體,鎖定想要借助AI的力量加速開發的人士下手。
資安業者Positive Technologies指出,他們發現一名PyPI使用者在1月29日上傳惡意套件deepseeek、deepseekai,一旦開發人員安裝這些套件,歹徒就有可能偷走系統環境變數資料,以及使用者與電腦的其他資料。
研究人員分析這些惡意套件,只要使用者透過命令列執行deepseeek或deepseekai指令,惡意酬載就有可能隨之啟動,開始搜括敏感資料,像是S3儲存桶的API金鑰、資料庫帳密,以及其他能存取基礎設施及資源的資料。
為了隱匿行蹤,歹徒濫用開發整合平臺Pipedream充當C2伺服器,並用來接收竊得的資料。
附帶一提的是,Positive Technologies根據程式碼的註解內容,發現這些套件的指令碼,很有可能是借助AI助理來產生。
研究人員通報此事,PyPI維護團隊隨即將套件下架,但在上架不到一個小時的時間仍有222次下載,其中超過半數來自美國(117次),但中國、俄羅斯、香港也有受害者。
