GitHub 惊现伪造 ChatGPT 安装包：Deno RAT 成为供应链攻击新杀器

一场精心策划的供应链攻击正在 GitHub 上活跃进行。恶意攻击者创建了数十个模仿正版 ChatGPT 桌面客户端的仓库，这些仓库拥有看似完整的项目结构、虚假的星标数和活跃的 Issue 讨论区，以此诱骗开发者。其载荷是一个基于 Deno 运行时构建的远程访问木马（RAT）。Deno 是一个相对较新的 JavaScript/TypeScript 运行时，原生支持沙箱和 TypeScript 编译。攻击者选择 Deno 是刻意为之：相比 Python 或 Node.js，现有安全工具对 Deno 生态的监控力度更弱，使得恶意软件能够规避静态分析和基于签名的检测。这场攻击利用了人们对 AI 工具的强烈需求——开发者和高级用户急于下载 ChatGPT 客户端，从而落入陷阱。

技术深度剖析

这场攻击的技术架构堪称利用安全盲区的教科书级案例。GitHub 上的恶意仓库经过精心打造：它们包含带有伪造 ChatGPT 桌面 UI 专业截图的 `README.md`、列出 `openai` 和 `electron` 等合法依赖的 `package.json`，以及一个存放高度混淆 Deno 脚本的 `src/` 目录。核心载荷是一个 Deno 脚本，它利用 `Deno.run()` 生成反向 Shell，使用 `Deno.readTextFile()` 窃取浏览器 Cookie 和 SSH 密钥，并通过 `Deno.connect()` 建立到命令与控制（C2）服务器的出站连接。

为何选择 Deno？ Deno 由 Node.js 的创始人 Ryan Dahl 创建，旨在解决 Node 的安全缺陷。它原生运行 TypeScript，没有 `npm` 依赖（使用 URL 导入），并默认强制文件系统和网络权限。然而，攻击者通过在安装脚本中附带 `--allow-all` 标志绕过了这些权限。Deno 运行时对 WebAssembly（Wasm）的原生支持以及通过 `deno compile` 编译为单一二进制文件的能力，使得恶意软件既便携又难以分析。静态分析工具难以应对，因为代码被编译成了二进制块，而 TypeScript 层又增加了一层混淆。

运行时攻击面对比：

| 运行时 | 包管理器 | 默认沙箱 | 静态分析难度 | 已知恶意软件数量（2024） |
|---|---|---|---|---|
| Python (PyPI) | pip | 无 | 低 | 12,500+ |
| Node.js (npm) | npm | 无 | 中 | 8,200+ |
| Deno | URL 导入 | 是（权限控制） | 高 | 47（已记录） |
| Bun | bun | 部分 | 中 | 12 |

数据洞察： Deno 较低的已知恶意软件数量（47）并非安全的标志，而是安全工具覆盖率低的反映。攻击者正在利用这一盲区，实际基于 Deno 的恶意软件样本数量可能比报告的高出 5-10 倍。

混淆技术尤其巧妙。攻击者使用 `eval()` 包裹在多层 Base64 和 AES 加密中。解密密钥从 GitHub Gist 获取，使其动态化且难以指纹识别。恶意软件还会检测虚拟机环境（VMware、VirtualBox）和调试器，一旦发现便静默退出。这种反分析能力在供应链攻击中实属罕见。

相关开源仓库：
- `denoland/deno`（官方 Deno 运行时，98k 星标）——攻击者的目标平台。
- `denosaurs/denon`（Deno 进程管理器，2.5k 星标）——恶意软件利用其在重启后持久化。
- `justjavac/deno_chatgpt`（一个合法的 ChatGPT Deno 客户端，1.2k 星标）——攻击者很可能 Fork 了此仓库并添加了恶意载荷。

关键角色与案例研究

攻击者： 身份尚不明确，但攻击模式表明这是一个经验丰富的 APT 组织，既精通 AI 工具又擅长运行时利用。使用 Deno 表明其对 JavaScript/TypeScript 生态系统的演进有深刻理解。该组织已创建至少 50 个虚假仓库，其中一些拥有超过 1000 个虚假星标（很可能购自刷量平台）。

受害者： AINews 威胁情报合作伙伴的早期报告显示感染发生在以下场景：
- 中型 AI 初创公司（3 家已确认）：员工下载了伪造客户端用于内部工作。
- 企业 DevOps 团队（2 个已确认）：恶意软件被用作特洛伊木马，以访问 CI/CD 管道。
- 个人开发者（数百人）：GitHub、AWS 和 GCP 账户凭证被盗。

供应链攻击向量对比：

| 攻击向量 | 示例 | 年份 | 影响 | 检测难度 |
|---|---|---|---|---|
| 域名抢注（npm） | `event-stream` | 2018 | 800 万次下载 | 低 |
| 依赖混淆（PyPI） | `internal-package` | 2021 | 100+ 组织 | 中 |
| 伪造安装程序（GitHub） | ChatGPT Deno RAT | 2025 | 200+ 组织 | 高 |
| 被攻陷的 CI/CD | SolarWinds | 2020 | 18,000 组织 | 非常高 |

数据洞察： 伪造安装程序这一向量尤其危险，因为它利用的是人类心理（AI 热潮）而非技术依赖链，使得自动化检测更加困难。

安全厂商的应对： Snyk 和 Sonatype 等公司已更新其扫描器，以标记带有 `--allow-all` 标志的 Deno 脚本，但这只是被动应对。真正的挑战在于 Deno 的导入系统（URL）绕过了传统的包注册中心，因此没有中央数据库可供监控。

行业影响与市场动态

此次攻击将加速以下趋势：

1. 运行时安全监控： 预计将涌现一批专注于 Deno、Bun 及其他新兴运行时的新兴初创公司。运行时安全市场预计将从 2024 年的 32 亿美元增长至 2028 年的 87 亿美元（年复合增长率 22%），而此次事件将成为催化剂。

2. GitHub 的信任危机： GitHub 长期饱受恶意仓库困扰。2024 年，他们因恶意软件移除了 120 万个仓库。

时间归档

延伸阅读

常见问题

GitHub 热点“Fake ChatGPT Installers on GitHub Unleash Deno RAT: The New Supply Chain Threat”主要讲了什么？

A coordinated supply chain attack is currently active on GitHub, where malicious actors have created dozens of repositories mimicking legitimate ChatGPT desktop clients. These repo…

这个 GitHub 项目在“how to detect fake GitHub repositories with Deno malware”上为什么会引发关注？

The attack's technical architecture is a masterclass in exploiting security gaps. The malicious repositories on GitHub are meticulously crafted. They include a README.md with professional screenshots of a fake ChatGPT de…

从“Deno RAT removal guide for Windows and macOS”看，这个 GitHub 项目的热度表现如何？

当前相关 GitHub 项目总星标约为 0，近一日增长约为 0，这说明它在开源社区具有较强讨论度和扩散能力。