恶意PyPI套件锁定macOS用户,为了窃取Google Cloud帐密资料,意外扯出AI搜寻引擎遭误导的社交工程新危机

过往恶意的NPM、PyPI套件攻击行动,通常骇客会上传大量套件来引诱开发人员上当,如今出现针对特定目标的攻击行动。

例如,若是确认受害电脑是攻击目标,该恶意软体就会窃取特定的资料,并外传给攻击者,这些档案存放于~/.config/gcloud资料夹,档名是application_default_credentials.json、credentials.db,而这些档案内含Google Cloud的身分验证资料。攻击者若是得逞,将会试图存取受害者的Google Cloud资源。

值得一提的是,攻击者疑似为了说服目标人士下载恶意套件,以该套件的开发者Lucid Zenith的名义设置专属的LinkedIn帐号,并声称是Apex Companies, LLC的执行长(但该公司的执行长其实是Dave Fabianski)。

此外,这些骇客甚至窜改特定的AI聊天机器人的分析结果,例如,能误导知名的AI搜寻引擎Perplexity:根据上述LinkedIn个人资料,而认为Lucid Zenith就是这家公司的执行长。