香港aa三级久久三级,色94色欧美sute亚洲线路二,色偷偷亚洲天堂av,玩弄japan白嫩少妇hd小说,午夜福利在线观看午夜电影街bt

中文版 Global
首頁 > 安全資訊 > 正文

從代碼到錢包失竊:黑客如何在AI開發(fā)工具中埋下陷阱

  • 2025-07-15 18:18:23

當(dāng)AI成為目標

AI技術(shù)飛速發(fā)展的當(dāng)下,AI已經(jīng)越來越廣泛融入了我們的日常生活。但也正因為AI技術(shù)的廣泛應(yīng)用,其自身面臨的各種風(fēng)險也隨之增大。最近,360就捕獲到了一起黑客攻擊事件。其獨特之處在于,黑客正是利用了AI開發(fā)工具的插件腳本進入受害者系統(tǒng),伺機對使用AI的開發(fā)人員展開攻擊,并最終獲利。

AI開發(fā)工具暗藏隱患

近期,AI相關(guān)產(chǎn)業(yè)的開發(fā)者反饋,自己的數(shù)據(jù)遭到泄露或竊取,但始終查不到原因,這也引起了360安全團隊的注意。經(jīng)安全研究人員排查發(fā)現(xiàn),攻擊的根源竟然來自開發(fā)人員最為倚仗的核心工具——IDE(Integrated Development Environment,即集成開發(fā)環(huán)境)軟件。

經(jīng)過對受害用戶開發(fā)環(huán)境進行分析,結(jié)合360云端大數(shù)據(jù)篩查比對,發(fā)現(xiàn)本次攻擊主要集中在Cursor AI和Trae(含Trae CN)兩款主流AI專用IDE開發(fā)工具。同時,由于這兩款工具都是基于微軟的開源IDE工具Visual Studio Code(VSCode)的衍生產(chǎn)物,所以原版的VSCode也在受影響范圍內(nèi)。

事件分析

在對被攻擊設(shè)備進行系統(tǒng)排查后,最終攻擊源頭被鎖定在一款名為“Solidity Language”的IDE插件上。該插件自稱是為當(dāng)前熱門的智能合約開發(fā)語言Solidity,提供語法高亮、定義跳轉(zhuǎn)、信息提示、快捷操作等實用功能的輔助工具。

?

1. Solidity Language插件

但當(dāng)分析人員追根溯源,找到該插件的安裝目錄時,發(fā)現(xiàn)其存放功能代碼的src目錄下竟異常簡單,只有一個名為“extension.js”的JavaScript腳本文件。而這個腳本的代碼也非常簡單直接——僅僅是調(diào)用系統(tǒng)PowerShell從遠程服務(wù)器中獲取文件,并直接在本地后臺隱藏運行。

?

2. 惡意插件的唯一功能腳本extension.js內(nèi)容

腳本會從遠端服務(wù)器上獲取一個名為1.txt的文件,該文件不是一個單純的文本文件,而是一個PowerShell腳本。該腳本首先嘗試查找系統(tǒng)中一款名為“ScreenConnect Client Service”的服務(wù)或軟件,如果找不到,則會再次調(diào)用系統(tǒng)PowerShell從遠程服務(wù)器中獲取另一個新文件再在本地后臺隱藏運行。

?

3. 名為1.txt的PowerShell腳本內(nèi)容

而這次下載的2.txt同樣是一個PowerShell腳本,其內(nèi)容更加簡單明了,僅是下載一款經(jīng)黑客定制的遠程控制軟件ScreenConnect到受害用戶的環(huán)境中,并進行靜默安裝。

?

4. 名為2.txt的新腳本下載遠程控制軟件并靜默安裝

這款名為ScreenConnect的遠程控制軟件,本身是一款用來遠程管理設(shè)備的“正規(guī)”軟件,但這個被下載的安裝包經(jīng)過黑客的“深度定制”。我們發(fā)現(xiàn)其內(nèi)置的system.config配置文件被篡改,直接硬編碼了用于連接的密鑰參數(shù)和程序連接的遠端控制服務(wù)器地址,這讓黑客在受害用戶知情、授權(quán)情況下,可以控制設(shè)備。

?

5. 遠程控制軟件的安裝配置文件

通過監(jiān)控該遠程控制軟件的流量數(shù)據(jù)發(fā)現(xiàn),控制服務(wù)器域名最終解析到了一個位于美國內(nèi)華達州拉斯維加斯的IP地址。

?

6. 遠程控制軟件解析其控制服務(wù)器域名

解析成功后,會自動連接其控制服務(wù)器的8041端口,并開始進行通訊,等待進一步指令進行后續(xù)的控制操作。

?

7. 連接控制服務(wù)器的8041端口進行通信并等待指令

根據(jù)受害用戶反饋,黑客目前對各類虛擬貨幣錢包頗感興趣,已經(jīng)有一些受害開發(fā)者的加密貨幣遭到了洗劫……

攔截防護

分析人員對本次攻擊進行實測發(fā)現(xiàn),360可在惡意插件被加載后,發(fā)起第一輪PowerShell下載時便直接進行有效攔截,從源頭上成功阻斷本次攻擊。

?

8. 安全大腦提示360成功攔截攻擊?

所以,360用戶不必對此次攻擊過分擔(dān)心,只需確保360客戶端的正常運行以及安全防護功能的正常開啟即可。

安全建議

基于本次攻擊的特點,建議廣大用戶——尤其是AI相關(guān)的開發(fā)人員:

l安裝安全終端
安裝安全監(jiān)控軟件,對系統(tǒng)中各種行為進行自動監(jiān)控、告警以及攔截。通過安全軟件獲取各類安全提示和建議。

l強化IDE插件管理
對于IDE中安裝的各種插件進行嚴格篩選,對于名稱相近的多個插件更要進行認真辨

l限制PowerShell運行
在不影響正常工作的前提下,盡可能收緊PowerShell一類腳本解析器的執(zhí)行權(quán)限。同時,可以通過配置,限制各類執(zhí)行或隱藏窗口類參數(shù)的執(zhí)行。

l檢查軟件安裝情況
對于各類軟件的安裝與執(zhí)行進行監(jiān)控,并定期排查已安裝軟件,檢查其中是否存在含有潛在風(fēng)險的未知軟件。

l加強網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控
監(jiān)控網(wǎng)絡(luò)流量數(shù)據(jù),一旦發(fā)現(xiàn)異常數(shù)據(jù)流量,第一時間進行阻斷并對數(shù)據(jù)源進行追溯排查。

l開展安全培訓(xùn)
對開發(fā)團隊定期開展專項安全培訓(xùn),尤其針對“供應(yīng)鏈攻擊”“社會工程學(xué)偽裝”開發(fā)人員更易遇到的威脅類型進行培訓(xùn)提升識別惡意插件、可疑腳本的能力。

360安全衛(wèi)士

熱點排行

用戶
反饋 返回
頂部