伴随着人工智能技术的突破性发展,AI已深度渗透至各行各业,成为驱动数字化转型的核心引擎。然而技术普惠的另一面,是伴随应用场景扩张而加剧的安全挑战。
近日,360数字安全集团捕获一起针对AI工具链发起的新型攻击事件:攻击者通过篡改AI开发框架的插件脚本,实现对使用该工具链的开发者实施精准渗透。
该事件起因是由于360终端安全智能体监测到,多名AI产业开发者在近期报告遭遇数据泄露或窃取,却难以溯源原因。360经进一步溯源排查发现,攻击源头竟直指开发者高度依赖的核心工具——集成开发环境(IDE)。
进一步分析受害者开发环境并比对360云端大数据发现,攻击主要针对基于VS Code开发的Cursor AI和Trae(含Trae CN)两款主流AI专用IDE,原版VS Code亦受波及。360安全智能体经深入溯源,最终将攻击精准定位至名为“Solidity Language”的IDE插件,该插件标榜为智能合约语言Solidity提供语法高亮、定义跳转、信息提示及快捷操作等辅助功能。
360在深度溯源后发现,该插件的src目录异常简单,仅含一个名为“extension.js”的JavaScript脚本文件。此脚本功能直接,仅是调用PowerShell从远程服务器下载,并静默执行名为1.txt的PowerShell 脚本。
1.txt脚本执行后,首先会深度检测系统是否存在 “ScreenConnect Client Service”的服务或软件。若未找到,则再次调用PowerShell下载并静默执行2.txt。后者功能更为直接:仅是下载黑客定制的ScreenConnect远控软件进行静默安装。
名为1.txt的PowerShell脚本内容
而这次下载的2.txt同样是一个PowerShell脚本,其内容更加简单明了,仅是下载一款经黑客定制的远程控制软件ScreenConnect到受害用户的环境中,并进行静默安装。
名为2.txt的新脚本下载远程控制软件并静默安装
ScreenConnect本身属正规软件,但黑客篡改了其system.config文件,硬编码了用于连接的密钥参数和程序连接的远端控制服务器地址。这使得受害设备在用户无感知、未授权的情况下,直接连接至位于美国内华达州拉斯维加斯的控制服务器(端口 8041),并开始进行通讯,等待进一步指令进行后续的控制操作。
连接控制服务器的8041端口进行通信并等待指令
根据受害用户反馈,黑客目前对各类虚拟货币钱包颇感兴趣,已经有一些受害开发者的加密货币遭到了洗劫。
作为国内唯一兼具数字安全和人工智能双重能力的企业,360自2023年起就专注于安全智能体的研发与应用,提出用AI重塑安全并推出国内首个实战应用的安全智能体。
在安全智能体赋能下,360全线安全产品稳步开展智能化迭代升级工作。其中,360终端安全智能体以AI为核心,强势领跑新一代终端安全管理与运营赛道。依托360二十余年来积累的海量威胁样本库,以及在终端安全领域深耕细作形成的1200余项技术点,融合自研大模型与智能体技术,对杀毒、主动防御、漏扫、无补丁免疫、EDR(终端威胁检测分析与响应)、桌管、准入、零信任、DLP(数据防泄漏)、安全桌面等40余项核心能力模块进行了全面MCP化升级。
在本次针对AI工具链的攻击事件中,当恶意插件加载后发起首次PowerShell下载时,360终端安全智能体便能从源头果断拦截并阻断攻击,让首行恶意代码触发即被封杀,充分展现了其在终端威胁检测分析与响应(EDR)方面的卓越能力。
此外,360终端安全智能体还广泛兼容Windows、XC、Linux、Mac、Android、鸿蒙等主流操作系统,是业界覆盖客户场景与需求最全面的自研All-in-One智能终端安全解决方案。
同时,融入AI工具与AI办公等创新功能,在保障卓越安全性的同时,带来更优的用户体验,实现安全与易用并重。
在AI技术不断发展、安全威胁层出不穷的当下,360终端安全智能体无疑是政企机构和广大开发者构筑安全防线的首选。
此外,360基于本次攻击的特点,特别提出以下几点安全建议:
1.安装360终端安全智能体:加强对系统中各种行为进行自动监测、告警以及拦截,通过360终端安全智能体获取各类安全提示和建议。
2.强化IDE插件管理:对于IDE中安装的各种插件进行严格筛选,对于名称相近的多个插件更要进行认真辨别。
3.限制PowerShell运行:在不影响正常工作的前提下,尽可能收紧PowerShell一类脚本解析器的执行权限。同时,可以通过配置,限制各类执行或隐藏窗口类参数的执行。
4.检查软件安装情况:对于各类软件的安装与执行进行监控,并定期排查已安装软件,检查其中是否存在含有潜在风险的未知软件。
5.加强网络数据监控:监控网络流量数据,一旦发现异常数据流量,第一时间进行阻断并对数据源进行追溯排查。
6.开展安全培训:对开发团队定期开展专项安全培训,尤其针对“供应链攻击”“社会工程学伪装”等开发人员更易遇到的威胁类型进行培训,提升识别恶意插件、可疑脚本的能力。
如需咨询相关服务
请联系电话
400-0309-360
来源 360数字安全
|
|
|
|
|
|
|
京公网安备 11000002002063号
京ICP备08010314号-6 Copyright©2005- 360.com 版权所有 360互联网安全中心
安全卫士
极速浏览器
360壁纸
360摄像机
纳米AI搜索
手机卫士
评论
直达楼层