两款热门AI编程扩展被曝窃取源码,下载量超百万威胁开发者供应链安全
- 2026-02-05 00:52:58
02月03日,星期二,您好!中科汇能与您分享信息安全快讯:
01
两款热门AI编程扩展被曝窃取源码,下载量超百万威胁开发者供应链安全
网络安全研究人员近期发现,在微软官方Visual Studio Code应用商店上架的两款AI编程辅助扩展实为恶意软件,累计下载量已超过150万次。这两款扩展表面上提供代码建议功能,暗地里却在用户打开或编辑文件时,将其全部内容编码后外泄至指定服务器。更危险的是,攻击者可远程触发指令,导致受害者一次性泄露多达50个工作区文件。
与此同时,软件供应链安全也拉响警报。安全研究者在npm、pnpm等多个主流JavaScript包管理器中发现了统称为“PackageGate”的零日漏洞,攻击者可利用其绕过脚本执行限制和锁文件检查,在安装阶段植入恶意代码。尽管部分管理器已发布修复,但npm官方暂未计划修复,凸显了开发工具链自身存在的重大安全风险。这两起事件共同表明,开发者高效工具链正成为攻击者高价值目标。
02
俄罗斯安防公司Delta遭网络攻击,致汽车与报警系统大面积服务中断
俄罗斯知名安防系统提供商Delta公司近期遭遇大规模网络攻击,导致其面向家庭、企业和车辆的安全报警服务出现广泛中断。尽管Delta表示没有客户个人数据泄露证据,但攻击致使公司网站和电话线路离线,只能通过社交媒体与客户沟通,恢复备份工作因持续威胁而进展缓慢。
此次攻击造成了切实的安全风险与混乱。用户报告汽车报警系统无法关闭、车辆无法解锁,甚至出现行驶中发动机熄火等严重故障。住宅和商业建筑的报警系统也被触发进入无法关闭的紧急模式。同日,俄罗斯航空业使用的预订值机系统也发生大规模IT故障,虽官方归因于内部技术问题,但叠加Delta事件,凸显了关键基础设施在数字化后面临的严峻网络安全挑战,可能引发公众对各类联网安全设备可靠性的深度担忧。
03
ClearFake恶意软件伪造人机验证,诱导用户执行命令实现自我入侵
一款名为ClearFake的恶意软件正通过伪造人机验证挑战,诱导用户亲手入侵自己的设备。当用户访问被入侵的网站时,会弹出要求完成验证的弹窗,但指示步骤却是按下Win+R打开“运行”对话框,然后按下Ctrl+V粘贴恶意命令并执行。这是一种典型的“ClickFix”社会工程学诱骗手段。
该恶意软件的规避性极强。最新版本利用Windows系统目录下的合法文件SyncAppvPublishingServer.vbs,通过其命令注入漏洞以“代理执行”方式隐秘运行PowerShell,从而绕过安全检测。其恶意载荷托管于币安智能链的智能合约中,利用区块链的不可篡改性提供难以被下架的托管渠道,同时还使用了jsDelivr等主流CDN服务分发代码,进一步增加了防御难度。据估算,自2025年8月以来已有近15万台设备遭感染。
04
HPE企业存储阵列曝高危漏洞,可致远程攻击者获取管理员权限
慧与公司近日发布安全警报,其旗舰企业级存储产品HPE Alletra和Nimble Storage阵列中存在一个高危漏洞(CVE-2026-23594,CVSS评分8.8)。该漏洞源于存储操作系统在处理权限时的缺陷,可能导致远程权限提升。这意味着攻击者无需物理接触设备,即可通过网络利用该漏洞,最终可能获得存储阵列的完全管理员控制权。
该漏洞影响Alletra 6000/5000以及Nimble Storage混合与全闪存阵列等多个产品线,波及6.1.2.800之前及6.1.3.300之前的所有版本。在企业环境中,存储阵列管理员权限的失陷可能引发灾难性后果,攻击者可借此窃取核心业务数据、中断关键运营或直接部署勒索软件。HPE已发布修复版本,敦促相关管理员立即将阵列操作系统升级至6.1.2.800或6.1.3.300以消除风险。
05
恶意NPM包“ansi-universal-ui”实为信息窃取器,瞄准开发者云密钥等高价值数据
安全研究人员发现,一个名为ansi-universal-ui的NPM包实为复杂的多阶段信息窃取恶意软件,代号“G_Wagon”。该包伪装成普通的UI组件库,一旦被安装,便会执行高度混淆的载荷,并下载专属的Python运行环境以绕过限制。其窃取目标明确且广泛,包括浏览器凭据、加密货币钱包、AWS/Azure/GCP等云服务密钥以及Discord令牌。
攻击者在短短两天内发布了10个版本,快速迭代并完善了恶意功能。其技术复杂度很高,最终载荷是一个经过加密的Windows DLL文件,并利用高级原生API将其注入浏览器进程。该恶意软件还具备处理大文件能力,会将窃取的数据分割上传。这显示出攻击者以拥有大量敏感数据的开发者或企业为高价值目标。研究人员建议已安装该包的开发者立即删除、检查感染迹象并轮换所有相关凭证。
06
商业数据库Crunchbase确认数据泄露,黑客组织ShinyHunters声称窃取200万条记录
商业信息平台Crunchbase确认发生数据泄露事件。此前,臭名昭著的网络犯罪组织ShinyHunters声称从其系统中窃取了超过200万条个人记录,并泄露了402MB的压缩数据档案作为未遂勒索的证明。Crunchbase表示,事件已被控制,未影响业务运营,公司已聘请网络安全专家协助调查,并通知了联邦执法部门。
ShinyHunters是一个自2020年以来活跃的金融犯罪组织,以窃取大型公司数据并索要赎金闻名,曾涉足多起大规模数据泄露事件。此次Crunchbase泄露的数据可能包含其数据库中丰富的企业和个人信息,这些信息对于市场营销、销售乃至社会工程学攻击具有潜在价值。尽管公司表示正在审查数据以确定是否需要依法通知,但事件已再次引发对企业,尤其是那些积累了大量商业情报数据的平台,所面临的数据安全与勒索风险的关注。
07
攻击者伪造蓝屏死机与构建工具,投放DCRat木马瞄准酒店业
一项名为PHALT#BLYX的恶意软件活动正针对酒店业发起攻击,通过伪造Booking.com的预订取消邮件引诱受害者。邮件包含高额费用以制造恐慌,点击链接后用户会进入高度仿真的钓鱼网站,随后遭遇虚假的浏览器错误和蓝屏死机提示。网站诱导用户执行“修复”操作,即通过运行对话框粘贴并执行恶意PowerShell命令。
该攻击的狡猾之处在于后续阶段滥用合法的Microsoft构建工具MSBuild.exe来编译和执行恶意项目文件。由于MSBuild.exe带有微软有效签名,此举能有效绕过应用白名单等防御机制。恶意脚本还会尝试禁用Windows Defender的特定扫描,并通过UAC弹窗轰炸来获取管理员权限。最终投放的载荷是功能强大的DCRat远程访问木马,具备键盘记录、远程控制、进程注入等多种能力,对受害企业构成严重威胁。
08
Node.js沙盒库vm2曝严重漏洞 可致攻击者逃逸并执行任意系统命令
广泛使用的Node.js沙盒库vm2中发现了一个严重漏洞,编号CVE-2026-22709,CVSS评分为满分10.0。该漏洞影响3.10.0及之前的所有版本,源于库在处理Promise回调时,对全局Promise对象的净化不完全,导致攻击者可利用异步函数绕过沙盒限制。
具体而言,由于异步函数返回的是全局Promise对象,攻击者能够通过操控Promise链和错误堆栈,最终访问到主机的函数构造器,从而实现任意代码执行。概念验证显示,攻击者可借此逃逸沙盒并执行如execSync()这样的系统命令,完全打破了vm2旨在提供的代码隔离环境。该漏洞对于依赖vm2来安全执行不可信代码的应用程序(如在线代码编辑器、插件系统等)构成极大风险。维护者已发布3.10.2版本修复漏洞,所有使用方应立即升级。
09
朝鲜Konni组织利用AI生成后门,转向瞄准亚太区区块链开发者
朝鲜背景的APT组织Konni近期活动出现显著转变,其目标从传统的韩国政府、政治机构转向亚太地区拥有区块链资源和专业知识的开发者。Check Point研究发现,该组织通过发送包含伪装成合法项目文件的钓鱼邮件进行攻击,意在攻破开发环境以获取敏感资产和加密货币。
此次攻击的一个突出特点是使用了结构精致、文档清晰的PowerShell后门,研究人员认为这很可能是借助AI编码助手生成的,反映了威胁行为者采用AI工具加速恶意软件开发的新趋势。诱饵文件包含详细的技术架构、开发流程甚至预算信息,极具迷惑性。这种转变表明,Konni等成熟威胁行为者正不断调整其战术、工具和目标,以维持长期、隐蔽的入侵活动,并寻求直接的金融收益,为防御方带来了新的挑战。
10
恶意PyPI包仿冒SymPy数学库,植入后门触发加密货币挖矿
Python包索引PyPI上出现了一个名为sympy-dev的恶意包,它通过“拼写劫持”手段仿冒知名的符号数学库SymPy。攻击者复制了正版项目的描述和品牌元素,并利用常见的“-dev”后缀暗示开发版本,在发布首日就诱使下载量超过1000次,成功潜入开发者环境和CI系统。
该恶意包的行为极具隐蔽性。它不会在安装时立即发作,而是当开发者调用特定的数学函数(如Groebner基计算)时,才触发隐藏在代码中的后门。后门会从远程服务器获取配置,下载攻击者控制的ELF可执行文件,并利用memfd_create在内存中直接执行,从而绕过基于磁盘的扫描。此次攻击中下载的载荷是XMRig加密货币挖矿程序。但研究人员警告,其模块化基础设施允许攻击者随时将挖矿程序替换为勒索软件或数据窃取工具,威胁极大。
信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮 卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟
本文版权归原作者所有,如有侵权请联系我们及时删除
