PyPI 上的信息窃取恶意软件冒充了 DeepSeek AI 工具

admin 2025年2月6日23:48:56评论47 views字数 1115阅读3分43秒阅读模式

PyPI 上的信息窃取恶意软件冒充了 DeepSeek AI 工具

关键词

恶意软件

PyPI 上的信息窃取恶意软件冒充了 DeepSeek AI 工具

威胁行为者利用 DeepSeek 的日益流行,在 Python 包索引 (PyPI) 上推广两个恶意信息窃取程序包,他们在其中冒充 AI 平台的开发工具。

这两个软件包被命名为“deepseeek”和“deepsekai”,以中国人工智能初创公司的名字命名。该公司开发了最近 人气飙升的R1 大语言模型。

有趣的是,这些包裹是由一个 2023 年 6 月创建的“老”账户上传的,之前没有任何活动。 

据发现该活动并将其报告给 PyPI 的 Positive Technologies 研究人员称,伪装成 DeepSeek AI Python 客户端的软件包是信息窃取程序,会从使用它们的开发人员那里窃取数据。

一旦在开发人员的机器上执行,恶意负载就会窃取用户和系统数据以及环境变量,例如 API 密钥、数据库凭据和基础设施访问令牌。

接下来,被盗信息通过合法自动化平台 Pipedream泄露至eoyyiyqubj7mquj.m.pipedream[.]net的命令和控制 (C2) 服务器。

PyPI 上的信息窃取恶意软件冒充了 DeepSeek AI 工具

威胁行为者可以利用这些被盗信息访问开发人员使用的云服务、数据库和其他受保护资源。

Positive Technologies 的报告中写道:“这些软件包中使用的功能旨在收集用户和计算机数据并窃取环境变量。”

“当用户在命令行界面运行命令 deepseek 或 deepseekai(取决于软件包)时,有效载荷就会执行。”

“环境变量通常包含应用程序运行所需的敏感数据,例如 S3 存储服务的 API 密钥、数据库凭据以及访问其他基础设施资源的权限。”

多名受害者

恶意软件包 deepseeek 0.0.8 和 deepseekai 0.0.8 于 2025 年 1 月 29 日上传到 PyPI,两者之间间隔仅有 20 分钟。

PyPI 上的信息窃取恶意软件冒充了 DeepSeek AI 工具

来源:Positive Technologies

Positive Technologies 很快发现了这些问题并向 PyPI 报告,PyPI 隔离并阻止了这些软件包的下载,随后将其从平台上彻底删除。

尽管检测和响应迅速,但仍有 222 名开发人员下载了这两个软件包,其中大多数来自美国(117),其次是中国(36)、俄罗斯、德国、香港和加拿大。

使用这些软件包的开发人员应该立即轮换他们的 API 密钥、身份验证令牌和密码,因为它们现在可能已被泄露。还应检查任何凭证被盗的云服务,以确认它们没有受到损害。

来源:https://www.bleepingcomputer.com/news/security/deepseek-ai-tools-impersonated-by-infostealer-malware-on-pypi/

  END  

原文始发于微信公众号(安全圈):【安全圈】PyPI 上的信息窃取恶意软件冒充了 DeepSeek AI 工具

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月6日23:48:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   PyPI 上的信息窃取恶意软件冒充了 DeepSeek AI 工具http://cn-sec.com/archives/3706720.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息