网络安全

当AI开发凭证成为目标:Djinn Stealer与新兴的供应链攻击面

基于SimpleHelp漏洞的Djinn Stealer恶意软件专门窃取云和AI开发工具凭证,揭示攻击者如何利用运维基础设施扩大攻击面,对AI供应链安全构成新威胁。

当AI开发凭证成为目标:Djinn Stealer与新兴的供应链攻击面

2026年6月,Blackpoint Cyber的Adversary Pursuit Group披露了一起针对远程监控与管理(RMM)工具的攻击活动。攻击者利用SimpleHelp平台中的认证绕过漏洞(CVE-2026-48558),获得了与IT管理员同等的远程管理权限,随后部署了一款名为Djinn Stealer的信息窃取恶意软件。这款恶意软件的设计目标非常明确:一次性剥离开发者机器上所有有价值的数字身份——云凭证、SSH密钥、API密钥、服务账户凭据,以及一个引人注目的新类别:AI开发工具和代理的凭证。

从RMM到AI供应链的跳板

SimpleHelp是一个被超过6000家组织使用的RMM平台,管理着数百万端点设备。攻击者首先通过互联网暴露的SimpleHelp服务器利用漏洞,获取了经过认证的技术人员会话——这意味着他们获得了与合法IT管理员相同的远程控制能力。这种对“受信任”基础设施的滥用并非新鲜事,但结合最终载荷的特定目标,此次攻击揭示了更深层的战略演变。

进入内部网络后,攻击者大规模部署了一个名为TaskWeaver的混淆JavaScript加载器,伪装成合法的jsquery.js文件,托管在临时的Cloudflare基础设施上。该加载器负责对受感染系统进行指纹识别、建立与C2服务器的通信,并检索最终的Djinn Stealer载荷。

Blackpoint的研究人员描述Djinn Stealer“构建为一次性剥离开发者机器上一切有价值的东西”。除了传统的凭证类型,它特别针对npm、Yarn、NuGet、Composer、Maven、PyPI等包注册表和构建工具生态系统的凭据。获取这些凭据的攻击者能够访问私有包、发布恶意软件、篡改依赖关系,并执行供应链攻击。

AI开发工具成为新的攻击面

最值得关注的是,Djinn Stealer被设计为搜索与AI开发工具和代理相关的凭证,包括Claude、Gemini、Codex、Cline、OpenCode、Kilo等服务的本地配置文件。这些工具大多依赖模型上下文协议(MCP),将AI助手连接到开发者的外部工具和数据——包括源代码仓库、数据库、云账户和内部API。一旦这些凭证被窃取,攻击者就能够以开发者或AI代理本身的权限访问和操纵数据与云基础设施。

Blackpoint的首席MDR分析师Nevan Beal指出:“随着AI嵌入开发、管理和业务工作流程,与这些平台相关的凭证对威胁行为者来说越来越有价值。” Djinn Stealer的独特性不仅在于它如何瞄准AI相关数据,还在于其收集规则覆盖了广泛且相对不常见的AI开发工具,同时还包括CI/CD凭证、包注册表认证、云配置、源代码控制访问以及传统的浏览器和钱包数据。这种广度表明,攻击者有意识地聚焦于将现代开发者和管理员连接到更广泛企业的身份和集成点。

攻击范式的转变:放大效应

对于安全团队而言,这次入侵活动是一个警示:攻击者越来越多地将注意力集中在受信任的管理和开发基础设施上,以放大单个入侵点的影响。最近的一个类似案例是丹麦制药巨头诺和诺德(Novo Nordisk)的泄露事件——攻击者通过一个GitHub访问令牌获得了初始立足点,进而升级权限并窃取了1.3TB的敏感数据。

Blackpoint的威胁情报工程师Sam Decker表示,虽然无法将此次攻击归因于特定威胁组织,但TaskWeaver和Djinn Stealer的架构反映了一次“有能力、有预谋的行动,专注于发现和收集高价值秘密”。攻击者还使用了拼写错误的微软基础设施来伪装:初始C2服务器伪装成合法的Microsoft Dev Tunnels,数据外渗的用户代理被伪造为正常的Microsoft遥测收集。值得注意的是,Decker认为这似乎是机会主义扫描——搜索互联网上暴露的易受攻击SimpleHelp实例,而非针对特定目标。

安全架构的重构需求

Djinn Stealer的出现并非孤例。它揭示了一个正在固化的趋势:攻击者不再满足于窃取用户密码或信用卡号,而是开始系统性地围猎那些能够打开通往整个数字帝国后门的“特权钥匙”——开发运维的凭据,尤其是AI系统的凭据。在现代软件工厂中,一个CI/CD令牌或一个AI代理的配置文件可能比企业CEO的邮箱密码更有价值,因为它们直接连接着代码仓库、生产数据库和云计算资源。

这一事件也迫使安全团队重新审视“信任”的边界。RMM工具、AI开发助手、包管理器和云CLI本应提升效率,但它们的广泛采用也创造了新的攻击面。当攻击者能够通过一个漏洞获得与管理员同等的权限,并利用该权限窃取连接AI、开发和运维系统的所有凭据时,传统基于边界的防御已经完全失效。

安全从业者需要开始将AI开发管道视为关键基础设施。这包括对MCP配置文件、本地AI代理令牌和云CLI凭据实施细粒度的访问控制,并对这些特权身份的使用进行实时监控。同时,包注册表和构建系统的安全性必须提升到与生产环境同等重要的水平——因为一个被攻陷的npm凭据就可以导致整个下游供应链的污染。

结语

Djinn Stealer不是最后一次针对AI开发凭证的攻击,它只是预示了一个新时代的开始:当每个开发者都拥有数十个云令牌、API密钥和AI代理配置文件时,保护这些数字身份将成为网络安全的核心战场。攻击者正在从“窃取数据”转向“窃取凭据”,因为凭据本身既是数据,又是通往更多数据的钥匙。对于组织而言,真正的挑战不是修补一个漏洞,而是重新设计整个开发和运维的身份与访问管理架构,使其能够抵御这种专门针对“信任链”的攻击。

来源边界 · thedailytech

thedailytech 将这段说明放在「科技新闻 / AI 与创新 / 大型科技公司」的站点语境中。读者复用摘要前应先打开来源链接: 日期、名称和状态变化仍需重新核对。「科技新闻 / AI 与创新 / 大型科技公司」解释了本文的本地编辑角度。

Source links

  1. https://www.darkreading.com/cyberattacks-data-breaches/djinn-stealer-targets-cloud-ai-credentialsPrimary

相关文章

返回频道