近期,AI安全领域再曝重大安全隐患。黑客组织通过在主流开源平台伪造热门项目,诱导开发者下载恶意代码的事件引发关注。据安全机构披露,某知名代码托管平台出现名为"Open-OSS/privacy-filter"的虚假仓库,该仓库刻意模仿OpenAI最新发布的隐私数据处理工具,导致大量开发者误入陷阱。
这个精心设计的恶意仓库在外观上与正版项目几乎无法区分,其文件目录结构、项目描述甚至更新日志都完整复刻了真实项目。安全团队检测发现,该仓库在被举报下架前累计下载量已突破20万次,意味着可能已有数万开发者设备面临风险。更危险的是,攻击者将信息窃取木马(Infestealer)植入到核心脚本文件中,受害者一旦运行就会触发恶意代码执行。
技术分析显示,该木马具备完整的后门功能,能够窃取浏览器保存的账号密码、系统环境变量、SSH密钥等敏感信息。部分变种甚至包含键盘记录模块,可持续监控用户输入内容。安全专家指出,这类攻击利用了开发者对知名项目的信任心理,通过混淆项目名称和开发者账号实施精准诈骗。
针对此类攻击,安全机构发出紧急预警:受影响用户应立即停止使用当前开发环境,建议采用全新系统重装的方式彻底清除隐患。在确认系统完全干净前,切勿登录重要账号或输入密码等敏感操作。技术人员特别提醒,手动删除可疑文件存在极高风险,因为木马可能已植入系统启动项或隐藏在正常进程之中。
此次事件暴露出开源平台审核机制的潜在漏洞。虽然主要平台已加强项目真实性验证,但黑客仍通过注册相似账号名、伪造项目文档等方式绕过检测。开发者社区呼吁建立更严格的项目发布审核流程,同时建议平台增加恶意代码扫描环节,在项目上线前进行安全检测。
