啟明星辰：多個偽裝成 DeepSeek 的釣魚頁面被用于竊取用戶登錄憑證

IT之家 2 月 7 日消息，中國移動專責(zé)網(wǎng)信安全專業(yè)子公司啟明星辰官微今日發(fā)文披露，近期多個偽裝成 DeepSeek 的釣魚頁面被用于竊取用戶登錄憑證，且在 Python 軟件包索引中發(fā)現(xiàn)惡意軟件包“deepseeek”和“deepseekai”，已被刪除。

IT之家獲悉，這些惡意軟件包在開發(fā)者設(shè)備上執(zhí)行后，會竊取系統(tǒng)數(shù)據(jù)及環(huán)境變量中的敏感信息，包括 API 密鑰、數(shù)據(jù)庫憑證和基礎(chǔ)設(shè)施訪問令牌，對軟件供應(yīng)鏈安全構(gòu)成嚴重威脅。

該公司表示，當(dāng)前存在釣魚鏈接、PyPI 投毒等安全事件。

釣魚鏈接

以釣魚網(wǎng)站“https://deepseeklogins.com/”為例，其頁面結(jié)構(gòu)和風(fēng)格與 DeepSeek 官方網(wǎng)站高度相似，旨在通過偽造官方頁面來誘導(dǎo)用戶泄露敏感信息。與真實網(wǎng)站相比，釣魚頁面移除了中英文切換的超鏈接。在該釣魚頁面中，點擊右上角的“API Platform”鏈接將會引導(dǎo)用戶跳轉(zhuǎn)到偽造的登錄頁面。

在偽造的登錄頁面，即便用戶輸入正確的用戶名和密碼，頁面也會提示用戶名或密碼錯誤。用戶名和密碼信息將會被發(fā)送至 https://chat.deepseek.com/api/v0/users/login 接口中，并且該登錄頁面會不斷獲取當(dāng)前瀏覽器版本等信息。

其他惡意釣魚網(wǎng)址如下：

https://deepseek.boats/

https://deepseek-shares.com/

https://deepseek-aiassistant.com/

https://usadeepseek.com/

https://platform.deepseek.com/sign_in

http://deepseek-login.com/

https://deepseeklogins.com/

https://deepseeklogin.xyz/

https://deepseeklogin.me/

https://deepseeklogin.co/

https://deepseeklogin.us/

PyPI 投毒

2025 年 1 月 29 日，用戶 bvk（該賬戶于 2023 年 6 月創(chuàng)建，且無其他活動記錄）在 Python 軟件包索引（PyPI）上傳了兩個軟件包：“deepseeek”和“deepseekai”。

經(jīng)安全研究人員分析，deepseeek 軟件包的哈希值為 0bd29789ab155b95fbb11e44afc39b1fbb555bbbcacb210b03fed5a22e0fa03b，其文件名為 deepseeek-0.0.8-py2.py3-none-any.whl。該軟件包的主要功能是獲取執(zhí)行環(huán)境的用戶名和主機名，并將這些信息發(fā)送至 https://eoyyiyqubj7mquj.m.pipedream.net。

deepseekai 軟件包的哈希值為 a68ff8f2124ebb707e86710a4bd1f376f0d867ee7d1d62ad8e518ed1c27d05d2，其文件名為 deepseekai-0.0.8-py2.py3-none-any.whl。該軟件包不僅會收集用戶名和主機名，還會獲取環(huán)境變量信息，并將所有收集到的數(shù)據(jù)發(fā)送至 https://eoyyiyqubj7mquj.m.pipedream.net。

從代碼的注釋風(fēng)格和結(jié)構(gòu)化編寫方式來看，兩段惡意腳本可能是在 AI 的輔助下生成的。例如，代碼中的典型注釋格式（如# Suppress all warnings、# Attempt to get user ID with id command）以及代碼邏輯的組織方式，符合 AI 生成代碼的常見特點。此外，代碼采用了異常靜默處理（pass 語句），以及禁用 SSL 證書驗證（verify=False），這些也是 AI 生成代碼時可能出現(xiàn)的模式。

代碼中 https://eoyyiyqubj7mquj.m.pipedream.net 是 Pipedream 平臺提供的 HTTP 端點，可用于接收、存儲并處理傳入的數(shù)據(jù)。任何發(fā)送到該 URL 的信息都會被 Pipedream 記錄，并可能用于后續(xù)分析或進一步操作。

啟明星辰表示，企業(yè)和開發(fā)者應(yīng)提高警惕，嚴格審查軟件來源，加強安全防護措施，定期監(jiān)測依賴項安全性，以防范潛在的數(shù)據(jù)泄露和供應(yīng)鏈攻擊風(fēng)險。

防范釣魚鏈接攻擊

• 核實網(wǎng)站域名：仔細檢查 URL，確保拼寫正確，避免訪問偽造官方域名（如 deepseeklogins.com 可能冒充 deepseek.com），確保網(wǎng)站使用 HTTPS，但警惕 HTTPS 證書不代表網(wǎng)站安全。

• 避免點擊可疑鏈接：不要隨意點擊郵件、社交媒體或聊天軟件中的未知鏈接。

• 定期更新密碼：使用強密碼，定期更新，并在不同網(wǎng)站使用不同憑據(jù)。

• 監(jiān)控賬戶異常登錄行為：發(fā)現(xiàn)可疑活動立即更改密碼并聯(lián)系官方支持。

防范供應(yīng)鏈攻擊

• 審查第三方依賴：下載軟件包前，檢查 PyPI 發(fā)布者信息、下載量和社區(qū)評價，避免使用來源不明的庫。

• 驗證軟件完整性：使用 hash 校驗（SHA256 等）驗證軟件包是否被篡改。

• 限制環(huán)境變量暴露：避免在代碼或日志中明文存儲 API 密鑰，使用環(huán)境隔離和最小權(quán)限原則。

• 監(jiān)控異常流量：定期分析 HTTP 請求日志，防止敏感信息被發(fā)送至未知服務(wù)器。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。