首頁 > 關于我們 > 新聞動態 > 公司新聞

啟明星辰安全提示:DeepSeek熱度高漲,不能忽視的安全風險

發布時間 2025-02-08

近日,啟明星辰VSRC監測到多個偽裝成DeepSeek的釣魚頁面,可能用于竊取用戶登錄憑證。同時,研究人員發現Python軟件包索引(PyPI)中存在惡意軟件包“deepseeek”和“deepseekai”,這些包已被下架并刪除。經分析,這些惡意軟件包在開發者設備上執行后,會竊取系統數據及環境變量中的敏感信息,包括API密鑰、數據庫憑證和基礎設施訪問令牌,對軟件供應鏈安全構成嚴重威脅。


安全事件一:釣魚頁面


https://deepseeklogins.com/是一個釣魚網站,其頁面結構和風格與DeepSeek官方網站高度相似,旨在通過偽造官方頁面誘導用戶泄露敏感信息。真實官網的地址為 https://www.deepseek.com/。


1、真實頁面


圖片1.png


2、 釣魚頁面


與真實網站相比,釣魚頁面移除了中英文切換的超鏈接。在該釣魚頁面中,點擊右上角的“API Platform”鏈接將跳轉至官方的登錄頁面。然而,惡意攻擊者可以隨時修改該跳轉鏈接,實施釣魚攻擊。


圖片2.png

3、 其他惡意釣魚網址


https://deepseek.boats/

https://deepseek-shares.com/
https://deepseek-aiassistant.com/
https://usadeepseek.com/
https://platform.deepseek.com/sign_in
http://deepseek-login.com/
https://deepseeklogins.com/
https://deepseeklogin.xyz/
https://deepseeklogin.me/
https://deepseeklogin.co/
https://deepseeklogin.us/


安全事件二:PyPI投毒


2025年1月29日,用戶bvk(該賬戶于2023年6月創建,且無其他活動記錄)在Python軟件包索引(PyPI)上傳了兩個軟件包:“deepseek”和“deepseekai”。


圖片3.png


經安全研究人員分析,deepseeek軟件包的哈希值為0bd29789ab155b95fbb11e44afc39b1fbb555bbbcacb210b03fed5a22e0fa03b,其文件名為deepseeek-0.0.8-py2.py3-none-any.whl。該軟件包的主要功能是獲取執行環境的用戶名和主機名,并將這些信息發送至https://eoyyiyqubj7mquj.m.pipedream.net。


圖片4.png


deepseekai軟件包的哈希值為a68ff8f2124ebb707e86710a4bd1f376f0d867ee7d1d62ad8e518ed1c27d05d2,其文件名為deepseekai-0.0.8-py2.py3-none-any.whl。該軟件包不僅會收集用戶名和主機名,還會獲取環境變量信息,并將所有收集到的數據發送至https://eoyyiyqubj7mquj.m.pipedream.net。


圖片5.png


從代碼的注釋風格和結構化編寫方式來看,該腳本可能是在AI的輔助下生成的。例如,代碼中的典型注釋格式(如# Suppress all warnings、# Attempt to get user ID with id command)以及代碼邏輯的組織方式,符合AI生成代碼的常見特點。此外,代碼采用了異常靜默處理(pass語句),以及禁用SSL證書驗證(verify=False),這些也是AI生成代碼時可能出現的模式。


代碼中https://eoyyiyqubj7mquj.m.pipedream.net 是 Pipedream 平臺提供的 HTTP 端點,可用于接收、存儲并處理傳入的數據。任何發送到該 URL 的信息都會被 Pipedream 記錄,并可能用于后續分析或進一步操作。


圖片6.jpg


安全建議


此次事件表明,攻擊者正在利用DeepSeek的品牌影響力發起供應鏈攻擊和釣魚攻擊,意圖竊取敏感信息并破壞開發者環境。企業和開發者應提高警惕,嚴格審查軟件來源,加強安全防護措施,定期監測依賴項安全性,以防范潛在的數據泄露和供應鏈攻擊風險。


1、防范供應鏈攻擊


審查第三方依賴:下載軟件包前,檢查 PyPI 發布者信息、下載量和社區評價,避免使用來源不明的庫。


驗證軟件完整性:使用 hash 校驗(SHA256 等)驗證軟件包是否被篡改。


限制環境變量暴露:避免在代碼或日志中明文存儲 API 密鑰,使用環境隔離和最小權限原則。


監控異常流量:定期分析 HTTP 請求日志,防止敏感信息被發送至未知服務器。


2、防范釣魚鏈接攻擊


核實網站域名:仔細檢查URL,確保拼寫正確,避免訪問偽造官方域名(如deepseeklogins.com可能冒充deepseek.com),確保網站使用HTTPS,但警惕HTTPS證書不代表網站安全。


避免點擊可疑鏈接:不要隨意點擊郵件、社交媒體或聊天軟件中的未知鏈接。


定期更新密碼:使用強密碼,定期更新,并在不同網站使用不同憑據。


監控賬戶異常登錄行為:發現可疑活動立即更改密碼并聯系官方支持。


IOC


0bd29789ab155b95fbb11e44afc39b1fbb555bbbcacb210b03fed5a22e0fa03b

a68ff8f2124ebb707e86710a4bd1f376f0d867ee7d1d62ad8e518ed1c27d05d2

https://eoyyiyqubj7mquj.m.pipedream.net/

https://deepseek.boats/

https://deepseek-shares.com/

https://deepseek-aiassistant.com/

https://usadeepseek.com/

https://platform.deepseek.com/sign_in

http://deepseek-login.com/

https://deepseeklogins.com/

https://deepseeklogin.xyz/

https://deepseeklogin.me/

https://deepseeklogin.co/

https://deepseeklogin.us/

上一篇 下一篇