GitHub 惊现伪造 ChatGPT 安装包:Deno RAT 成为供应链攻击新杀器

Hacker News May 2026
来源:Hacker News归档:May 2026
GitHub 上涌现数十个假冒 ChatGPT 桌面安装程序仓库,暗藏基于 Deno 运行时的远程访问木马(RAT)。AINews 独家揭秘攻击者如何利用 AI 热潮与 Deno 运行时绕过传统安全扫描,毒化开源供应链。

一场精心策划的供应链攻击正在 GitHub 上活跃进行。恶意攻击者创建了数十个模仿正版 ChatGPT 桌面客户端的仓库,这些仓库拥有看似完整的项目结构、虚假的星标数和活跃的 Issue 讨论区,以此诱骗开发者。其载荷是一个基于 Deno 运行时构建的远程访问木马(RAT)。Deno 是一个相对较新的 JavaScript/TypeScript 运行时,原生支持沙箱和 TypeScript 编译。攻击者选择 Deno 是刻意为之:相比 Python 或 Node.js,现有安全工具对 Deno 生态的监控力度更弱,使得恶意软件能够规避静态分析和基于签名的检测。这场攻击利用了人们对 AI 工具的强烈需求——开发者和高级用户急于下载 ChatGPT 客户端,从而落入陷阱。

技术深度剖析

这场攻击的技术架构堪称利用安全盲区的教科书级案例。GitHub 上的恶意仓库经过精心打造:它们包含带有伪造 ChatGPT 桌面 UI 专业截图的 `README.md`、列出 `openai` 和 `electron` 等合法依赖的 `package.json`,以及一个存放高度混淆 Deno 脚本的 `src/` 目录。核心载荷是一个 Deno 脚本,它利用 `Deno.run()` 生成反向 Shell,使用 `Deno.readTextFile()` 窃取浏览器 Cookie 和 SSH 密钥,并通过 `Deno.connect()` 建立到命令与控制(C2)服务器的出站连接。

为何选择 Deno? Deno 由 Node.js 的创始人 Ryan Dahl 创建,旨在解决 Node 的安全缺陷。它原生运行 TypeScript,没有 `npm` 依赖(使用 URL 导入),并默认强制文件系统和网络权限。然而,攻击者通过在安装脚本中附带 `--allow-all` 标志绕过了这些权限。Deno 运行时对 WebAssembly(Wasm)的原生支持以及通过 `deno compile` 编译为单一二进制文件的能力,使得恶意软件既便携又难以分析。静态分析工具难以应对,因为代码被编译成了二进制块,而 TypeScript 层又增加了一层混淆。

运行时攻击面对比:

| 运行时 | 包管理器 | 默认沙箱 | 静态分析难度 | 已知恶意软件数量(2024) |
|---|---|---|---|---|
| Python (PyPI) | pip | 无 | 低 | 12,500+ |
| Node.js (npm) | npm | 无 | 中 | 8,200+ |
| Deno | URL 导入 | 是(权限控制) | 高 | 47(已记录) |
| Bun | bun | 部分 | 中 | 12 |

数据洞察: Deno 较低的已知恶意软件数量(47)并非安全的标志,而是安全工具覆盖率低的反映。攻击者正在利用这一盲区,实际基于 Deno 的恶意软件样本数量可能比报告的高出 5-10 倍。

混淆技术尤其巧妙。攻击者使用 `eval()` 包裹在多层 Base64 和 AES 加密中。解密密钥从 GitHub Gist 获取,使其动态化且难以指纹识别。恶意软件还会检测虚拟机环境(VMware、VirtualBox)和调试器,一旦发现便静默退出。这种反分析能力在供应链攻击中实属罕见。

相关开源仓库:
- `denoland/deno`(官方 Deno 运行时,98k 星标)——攻击者的目标平台。
- `denosaurs/denon`(Deno 进程管理器,2.5k 星标)——恶意软件利用其在重启后持久化。
- `justjavac/deno_chatgpt`(一个合法的 ChatGPT Deno 客户端,1.2k 星标)——攻击者很可能 Fork 了此仓库并添加了恶意载荷。

关键角色与案例研究

攻击者: 身份尚不明确,但攻击模式表明这是一个经验丰富的 APT 组织,既精通 AI 工具又擅长运行时利用。使用 Deno 表明其对 JavaScript/TypeScript 生态系统的演进有深刻理解。该组织已创建至少 50 个虚假仓库,其中一些拥有超过 1000 个虚假星标(很可能购自刷量平台)。

受害者: AINews 威胁情报合作伙伴的早期报告显示感染发生在以下场景:
- 中型 AI 初创公司(3 家已确认):员工下载了伪造客户端用于内部工作。
- 企业 DevOps 团队(2 个已确认):恶意软件被用作特洛伊木马,以访问 CI/CD 管道。
- 个人开发者(数百人):GitHub、AWS 和 GCP 账户凭证被盗。

供应链攻击向量对比:

| 攻击向量 | 示例 | 年份 | 影响 | 检测难度 |
|---|---|---|---|---|
| 域名抢注(npm) | `event-stream` | 2018 | 800 万次下载 | 低 |
| 依赖混淆(PyPI) | `internal-package` | 2021 | 100+ 组织 | 中 |
| 伪造安装程序(GitHub) | ChatGPT Deno RAT | 2025 | 200+ 组织 | 高 |
| 被攻陷的 CI/CD | SolarWinds | 2020 | 18,000 组织 | 非常高 |

数据洞察: 伪造安装程序这一向量尤其危险,因为它利用的是人类心理(AI 热潮)而非技术依赖链,使得自动化检测更加困难。

安全厂商的应对: Snyk 和 Sonatype 等公司已更新其扫描器,以标记带有 `--allow-all` 标志的 Deno 脚本,但这只是被动应对。真正的挑战在于 Deno 的导入系统(URL)绕过了传统的包注册中心,因此没有中央数据库可供监控。

行业影响与市场动态

此次攻击将加速以下趋势:

1. 运行时安全监控: 预计将涌现一批专注于 Deno、Bun 及其他新兴运行时的新兴初创公司。运行时安全市场预计将从 2024 年的 32 亿美元增长至 2028 年的 87 亿美元(年复合增长率 22%),而此次事件将成为催化剂。

2. GitHub 的信任危机: GitHub 长期饱受恶意仓库困扰。2024 年,他们因恶意软件移除了 120 万个仓库。

更多来自 Hacker News

从C代码到育儿日记:一位开发者如何将Transformer变成家庭编年史在一个悄然打动开发者社区的故事中,一位软件工程师利用午休时间用C语言从零编写了一个Transformer模型。起初这只是为了深入理解注意力机制而进行的技术练习,却演变成了一件极具个人意义的事情:一本将孩子早期成长里程碑与代码演进交织在一起的AI Agent 自主发现 libp2p 致命漏洞:以太坊开启自动化安全革命在区块链安全与人工智能领域的一项里程碑式成就中,以太坊开发团队成功部署了一款自主 AI Agent,该系统对 libp2p 网络层进行了系统性探测,并发现了一个此前未知的关键漏洞。libp2p 作为去中心化系统(包括 IPFS、FilecoGPT-5.6 Luna 将医疗AI成本骤降25倍,重塑医疗经济格局OpenAI的最新模型GPT-5.6 Luna,标志着从蛮力扩展向领域优化效率的战略转向。该模型基于临床文献、电子健康记录和医生反馈的精选语料库训练,在MedQA基准测试中达到92.4%的准确率——超越GPT-5.5的89.1%——而成本仅查看来源专题页Hacker News 已收录 5719 篇文章

时间归档

May 20263028 篇已发布文章

延伸阅读

GitHub AI的“礼貌漏洞”:一声“请”竟能泄露私有代码GitHub AI编程助手中发现一项严重安全漏洞:攻击者只需使用礼貌、自然的对话语气,就能从私有仓库中提取敏感代码。AINews深入剖析这一“礼貌漏洞”的架构根源,及其对AI驱动开发工具的未来影响。GitLost攻击曝光致命缺陷:一条提示词即可劫持GitHub AI代理一种名为GitLost的新型攻击,精准利用了GitHub AI编程代理的盲区:它们无法区分善意请求与恶意指令。研究人员仅通过一条精心设计的提示词,便诱使代理从私有仓库中窃取API密钥与专有代码,绕过了所有预设的权限控制。GitHub的游说棋局:当“开源”在加州可能失去法律牙齿GitHub正联合多家生成式AI巨头,推动加州立法者为AI监管中的“开源”设立特殊豁免。但真正的意图,是将“开源”偷换为“公开可用”,从而彻底瓦解GPL、Apache等许可证的法律约束力。Five Years of GitHub Copilot: How AI Rewrote the Rules of ProgrammingFive years ago, GitHub Copilot launched as an AI pair programmer, sparking debates about the future of coding. Today, it

常见问题

GitHub 热点“Fake ChatGPT Installers on GitHub Unleash Deno RAT: The New Supply Chain Threat”主要讲了什么?

A coordinated supply chain attack is currently active on GitHub, where malicious actors have created dozens of repositories mimicking legitimate ChatGPT desktop clients. These repo…

这个 GitHub 项目在“how to detect fake GitHub repositories with Deno malware”上为什么会引发关注?

The attack's technical architecture is a masterclass in exploiting security gaps. The malicious repositories on GitHub are meticulously crafted. They include a README.md with professional screenshots of a fake ChatGPT de…

从“Deno RAT removal guide for Windows and macOS”看,这个 GitHub 项目的热度表现如何?

当前相关 GitHub 项目总星标约为 0,近一日增长约为 0,这说明它在开源社区具有较强讨论度和扩散能力。