启明星辰:多个伪装成DeepSeek的钓鱼页面被用于窃取用户登录凭证
IT之家 2 月 7 日消息,中国移动专责网信安全专业子公司启明星辰官微今日发文披露,近期多个伪装成 DeepSeek 的钓鱼页面被用于窃取用户登录凭证,且在 Python 软件包索引中发现恶意软件包“deepseeek”和“deepseekai”,已被删除。
IT之家获悉,这些恶意软件包在开发者设备上执行后,会窃取系统数据及环境变量中的敏感信息,包括 API 密钥、数据库凭证和基础设施访问令牌,对软件供应链安全构成严重威胁。
该公司表示,当前存在钓鱼链接、PyPI 投毒等安全事件。
钓鱼链接
以钓鱼网站“https://deepseeklogins.com/”为例,其页面结构和风格与 DeepSeek 官方网站高度相似,旨在通过伪造官方页面来诱导用户泄露敏感信息。与真实网站相比,钓鱼页面移除了中英文切换的超链接。在该钓鱼页面中,点击右上角的“API Platform”链接将会引导用户跳转到伪造的登录页面(https://chat.deepseek.com/sign_in)。
在伪造的登录页面,即便用户输入正确的用户名和密码,页面也会提示用户名或密码错误。用户名和密码信息将会被发送至 https://chat.deepseek.com/api / v0 / users / login 接口中,并且该登录页面会不断获取当前浏览器版本等信息。
其他恶意钓鱼网址如下:
PyPI 投毒https://deepseek.boats/
https://deepseek-shares.com/
https://deepseek-aiassistant.com/
https://usadeepseek.com/
deepseek-login.com/
deepseeklogins.com/
deepseeklogin.xyz/
deepseeklogin.me/
deepseeklogin.co/
deepseeklogin.us/
2025 年 1 月 29 日,用户 bvk(该账户于 2023 年 6 月创建,且无其他活动记录)在 Python 软件包索引(PyPI)上传了两个软件包:“deepseek”和“deepseekai”。
经安全研究人员分析,deepseeek 软件包的哈希值为 0bd29789ab155b95fbb11e44afc39b1fbb555bbbcacb210b03fed5a22e0fa03b,其文件名为 deepseeek-0.0.8-py2.py3-none-any.whl。该软件包的主要功能是获取执行环境的用户名和主机名,并将这些信息发送至 https://eoyyiyqubj7mquj.m.pipedream.net。
deepseekai 软件包的哈希值为 a68ff8f2124ebb707e86710a4bd1f376f0d867ee7d1d62ad8e518ed1c27d05d2,其文件名为 deepseekai-0.0.8-py2.py3-none-any.whl。该软件包不仅会收集用户名和主机名,还会获取环境变量信息,并将所有收集到的数据发送至 https://eoyyiyqubj7mquj.m.pipedream.net。
从代码的注释风格和结构化编写方式来看,两段恶意脚本可能是在 AI 的辅助下生成的。例如,代码中的典型注释格式(如# Suppress all warnings、# Attempt to get user ID with id command)以及代码逻辑的组织方式,符合 AI 生成代码的常见特点。此外,代码采用了异常静默处理(pass 语句),以及禁用 SSL 证书验证(verify=False),这些也是 AI 生成代码时可能出现的模式。
代码中 https://eoyyiyqubj7mquj.m.pipedream.net是 Pipedream 平台提供的 HTTP 端点,可用于接收、存储并处理传入的数据。任何发送到该 URL 的信息都会被 Pipedream 记录,并可能用于后续分析或进一步操作。
启明星辰表示,企业和开发者应提高警惕,严格审查软件来源,加强安全防护措施,定期监测依赖项安全性,以防范潜在的数据泄露和供应链攻击风险。
防范钓鱼链接攻击
核实网站域名:仔细检查 URL,确保拼写正确,避免访问伪造官方域名(如 deepseeklogins.com可能冒充 deepseek.com),确保网站使用 HTTPS,但警惕 HTTPS 证书不代表网站安全。
避免点击可疑链接:不要随意点击邮件、社交媒体或聊天软件中的未知链接。
定期更新密码:使用强密码,定期更新,并在不同网站使用不同凭据。
监控账户异常登录行为:发现可疑活动立即更改密码并联系官方支持。
审查第三方依赖:下载软件包前,检查 PyPI 发布者信息、下载量和社区评价,避免使用来源不明的库。
验证软件完整性:使用 hash 校验(SHA256 等)验证软件包是否被篡改。
限制环境变量暴露:避免在代码或日志中明文存储 API 密钥,使用环境隔离和最小权限原则。
监控异常流量:定期分析 HTTP 请求日志,防止敏感信息被发送至未知服务器。