IT之家 2 月 7 日消息,中國移動專責網信安全專業子公司啟明星辰官微今日發文披露,近期多個偽裝成 DeepSeek 的釣魚頁面被用于竊取用戶登錄憑證,且在 Python 軟件包索引中發現惡意軟件包“deepseeek”和“deepseekai”,已被刪除。
IT之家獲悉,這些惡意軟件包在開發者設備上執行后,會竊取系統數據及環境變量中的敏感信息,包括 API 密鑰、數據庫憑證和基礎設施訪問令牌,對軟件供應鏈安全構成嚴重威脅。
該公司表示,當前存在釣魚鏈接、PyPI 投毒等安全事件。
釣魚鏈接
以釣魚網站“https://deepseeklogins.com/”為例,其頁面結構和風格與 DeepSeek 官方網站高度相似,旨在通過偽造官方頁面來誘導用戶泄露敏感信息。與真實網站相比,釣魚頁面移除了中英文切換的超鏈接。在該釣魚頁面中,點擊右上角的“API Platform”鏈接將會引導用戶跳轉到偽造的登錄頁面。
在偽造的登錄頁面,即便用戶輸入正確的用戶名和密碼,頁面也會提示用戶名或密碼錯誤。用戶名和密碼信息將會被發送至 https://chat.deepseek.com/ api / v0 / users / login 接口中,并且該登錄頁面會不斷獲取當前瀏覽器版本等信息。
其他惡意釣魚網址如下:
https://deepseek.boats/
https://deepseek-shares.com/
https://deepseek-aiassistant.com/
https://usadeepseek.com/
deepseek-login.com/
deepseeklogins.com/
deepseeklogin.xyz/
deepseeklogin.me/
deepseeklogin.co/
deepseeklogin.us/
PyPI 投毒
2025 年 1 月 29 日,用戶 bvk(該賬戶于 2023 年 6 月創建,且無其他活動記錄)在 Python 軟件包索引(PyPI)上傳了兩個軟件包:“deepseeek”和“deepseekai”。
經安全研究人員分析,deepseeek 軟件包的哈希值為 0bd29789ab155b95fbb11e44afc39b1fbb555bbbcacb210b03fed5a22e0fa03b,其文件名為 deepseeek-0.0.8-py2.py3-none-any.whl。該軟件包的主要功能是獲取執行環境的用戶名和主機名,并將這些信息發送至 https://eoyyiyqubj7mquj.m.pipedream.net。
deepseekai 軟件包的哈希值為 a68ff8f2124ebb707e86710a4bd1f376f0d867ee7d1d62ad8e518ed1c27d05d2,其文件名為 deepseekai-0.0.8-py2.py3-none-any.whl。該軟件包不僅會收集用戶名和主機名,還會獲取環境變量信息,并將所有收集到的數據發送至 https://eoyyiyqubj7mquj.m.pipedream.net。
從代碼的注釋風格和結構化編寫方式來看,兩段惡意腳本可能是在 AI 的輔助下生成的。例如,代碼中的典型注釋格式(如# Suppress all warnings、# Attempt to get user ID with id command)以及代碼邏輯的組織方式,符合 AI 生成代碼的常見特點。此外,代碼采用了異常靜默處理(pass 語句),以及禁用 SSL 證書驗證(verify=False),這些也是 AI 生成代碼時可能出現的模式。
代碼中 https://eoyyiyqubj7mquj.m.pipedream.net 是 Pipedream 平臺提供的 HTTP 端點,可用于接收、存儲并處理傳入的數據。任何發送到該 URL 的信息都會被 Pipedream 記錄,并可能用于后續分析或進一步操作。
啟明星辰表示,企業和開發者應提高警惕,嚴格審查軟件來源,加強安全防護措施,定期監測依賴項安全性,以防范潛在的數據泄露和供應鏈攻擊風險。
防范釣魚鏈接攻擊
核實網站域名:仔細檢查 URL,確保拼寫正確,避免訪問偽造官方域名(如 deepseeklogins.com 可能冒充 deepseek.com),確保網站使用 HTTPS,但警惕 HTTPS 證書不代表網站安全。
避免點擊可疑鏈接:不要隨意點擊郵件、社交媒體或聊天軟件中的未知鏈接。
定期更新密碼:使用強密碼,定期更新,并在不同網站使用不同憑據。
監控賬戶異常登錄行為:發現可疑活動立即更改密碼并聯系官方支持。
防范供應鏈攻擊
審查第三方依賴:下載軟件包前,檢查 PyPI 發布者信息、下載量和社區評價,避免使用來源不明的庫。
驗證軟件完整性:使用 hash 校驗(SHA256 等)驗證軟件包是否被篡改。
限制環境變量暴露:避免在代碼或日志中明文存儲 API 密鑰,使用環境隔離和最小權限原則。
監控異常流量:定期分析 HTTP 請求日志,防止敏感信息被發送至未知服務器。
存儲設備
深度融入國產化生態 柯尼卡美能達
皖公網安備34150102000370號
在線咨詢