200+开发者中招!冒充DeepSeek供应链攻击:PyPI 平台恶意软件包事件警示

admin 2025年2月23日00:50:19评论78 views字数 1522阅读5分4秒阅读模式

一、事件概述

2025 年 2 月 3 日,Positive Technologies 的研究人员发现,在 Python 软件包索引(PyPI)中出现了两个恶意软件包 “deepsekai” 和 “deepseeek” 。这两个软件包名称与 DeepSeek 极为相似,明显是在冒充 DeepSeek。实际上,它们是加载了信息窃取程序的恶意软件,目标直指对 DeepSeek 技术感兴趣的开发人员、机器学习工程师和人工智能爱好者,企图窃取他们的敏感数据,如 API 密钥、数据库凭据和权限等重要信息。

经调查发现,攻击者利用了一个早在 2023 年 6 月就创建的名为 “bvk” 的账户。该账户在创建后的很长一段时间内处于休眠状态,直到 2025 年 1 月 29 日才突然活跃起来,并上传了这两个恶意软件包。

虽然在恶意行为被发现后,PyPI 迅速采取行动,删除了相关恶意软件包,但它已经被下载了超过200次,涉及美国、中国、俄罗斯等多个国家的开发者。

200+开发者中招!冒充DeepSeek供应链攻击:PyPI 平台恶意软件包事件警示

二、攻击手段

DeepSeek在PyPI平台上遭遇的恶意软件包事件涉及多种攻击手法

01恶意软件包的伪装与传播

攻击者利用名称拼写变体的方式,在PyPI上传了名为deepseeek和deepseekai的恶意软件包,伪装成与DeepSeek相关的开发工具。这种伪装手段极具迷惑性,开发者很容易在搜索相关工具时误下载这些恶意包

02恶意载荷的“三重收割”

窃取环境变量:恶意软件包在执行时会提取系统环境变量中的敏感数据,包括云服务API密钥、数据库访问凭证、SSH密钥等。

回传数据至C2服务器:攻击者利用Pipedream平台作为命令与控制(C2)节点,将窃取的数据隐蔽地传输到攻击者的服务器。

持久化潜伏:代码中预留了后续加载远程恶意模块的接口,为横向渗透埋下伏笔

03攻击者的技术手段

恶意代码中出现了大量详细的函数注释,这些注释风格与AI编程助手(如GitHub Copilot或ChatGPT)生成的代码高度相似,表明攻击者可能借助AI工具快速构建恶意载荷

04攻击账户的特征

上传恶意包的PyPI账户bvk自2023年6月注册后长期处于休眠状态,直至攻击前突然活跃。这种“低信誉账户发布高关注度包”的模式是典型的供应链攻击特征

05其他攻击手段

除了恶意软件包攻击,DeepSeek还遭受了多种DDoS攻击,包括UDP泛洪攻击、SYN泛洪攻击、GRE泛洪攻击等。这些攻击通过消耗网络带宽和系统资源,导致服务器无法正常响应

200+开发者中招!冒充DeepSeek供应链攻击:PyPI 平台恶意软件包事件警示

三、对生态的影响

①开发者信任受损

开源软件是现代技术生态的重要组成部分,开发者通常依赖像PyPI这样的平台获取和使用工具。此次事件暴露了开源软件供应链的脆弱性,攻击者利用开发者对知名项目的信任,通过伪装软件包名称(如“deepseeek”和“deepseekai”)来传播恶意代码。

②数据安全风险

环境变量中通常包含API密钥、数据库凭证等敏感信息,这些信息一旦被窃取,可能导致开发者使用的云服务、数据库和其他基础设施资源被非法访问。受影响的开发者需要立即更换API密钥和身份验证令牌,并检查相关服务是否受到进一步损害。

③AI技术的双刃剑

此次事件还揭示了AI技术可能被用于恶意目的。研究人员发现,攻击者可能借助AI工具编写了恶意代码,这为AI的滥用敲响了警钟。

④对AI生态的警示

随着AI技术的快速发展,其相关的软件包和工具也越来越多。此次事件提醒开发者和企业,必须加强对开源软件的审查和验证,避免因疏忽而引入恶意代码。

网络安全无小事。在享受AI带来的便利和创新的同时,我们也要时刻警惕潜在的安全威胁。

200+开发者中招!冒充DeepSeek供应链攻击:PyPI 平台恶意软件包事件警示

你有什么看法?欢迎在评论区留言分享你的观点!

200+开发者中招!冒充DeepSeek供应链攻击:PyPI 平台恶意软件包事件警示

原文始发于微信公众号(恒脑与AI):200+开发者中招!冒充DeepSeek供应链攻击:PyPI 平台恶意软件包事件警示

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月23日00:50:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   200+开发者中招!冒充DeepSeek供应链攻击:PyPI 平台恶意软件包事件警示https://cn-sec.com/archives/3770360.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息