启明星辰：多个伪装成 DeepSeek 的钓鱼页面被用于窃取用户登录凭证

IT之家 2 月 7 日报道，中国移动的安全专业子公司启明星辰在其官方社交媒体上发布了公告，警告用户近期出现了多个伪装成 DeepSeek 的钓鱼网站，这些页面被用于窃取用户的登录信息。同时，Python 软件包索引中也发现了恶意软件包“deepseeek”和“deepseekai”，现已移除。

据了解，这些恶意软件包在用户的开发环境中运行后，会盗取系统数据和环境变量中的敏感信息，包括 API 密钥、数据库凭证及基础设施访问令牌，从而对软件供应链的安全带来重大威胁。

该公司指出，目前已发生钓鱼链接和 PyPI 投毒等多种安全事件。

钓鱼链接警惕

以“https://deepseeklogins.com/”网站为例，该页面的设计与 DeepSeek 的官方网站高度相似，目的在于通过伪造官方页面诱导用户输入敏感信息。与真实网站相比，该钓鱼页面缺少中英文切换的超链接。在此页面的右上角，点击“API Platform”链接将引导用户进入伪造的登录页面。

在这个伪造的登录页面，即使用户输入正确的用户名和密码，系统也会提示信息错误。用户的用户名和密码则会被发送至 https://chat.deepseek.com/ api / v0 / users / login 接口，同时该页面还会不断收集当前浏览器版本等信息。

此外，其他恶意钓鱼网址包括：

https://deepseek.boats/

https://deepseek-shares.com/

https://deepseek-aiassistant.com/

https://usadeepseek.com/

deepseek-login.com/

deepseeklogins.com/

deepseeklogin.xyz/

deepseeklogin.me/

deepseeklogin.co/

deepseeklogin.us/

PyPI 投毒事件

2025 年 1 月 29 日，有用户名为 bvk 的账户（该账户创建于 2023 年 6 月，且无其他相关活动）向 Python 软件包索引（PyPI）上传了两个包：“deepseeek”和“deepseekai”。

经安全专家分析，deepseeek 软件包的哈希值为 0bd29789ab155b95fbb11e44afc39b1fbb555bbbcacb210b03fed5a22e0fa03b，文件名为 deepseeek-0.0.8-py2.py3-none-any.whl。该软件包主要功能为获取运行环境的用户名和主机名称，并将信息发送至 https://eoyyiyqubj7mquj.m.pipedream.net。

另一个包 deepseekai 的哈希值为 a68ff8f2124ebb707e86710a4bd1f376f0d867ee7d1d62ad8e518ed1c27d05d2，文件名为 deepseekai-0.0.8-py2.py3-none-any.whl。此软件包不仅收集用户名和主机名，还会提取环境变量信息，并将收集的数据发送至 https://eoyyiyqubj7mquj.m.pipedream.net。

从代码的注释风格和结构来看，这些恶意脚本可能是利用 AI 生成的。例如，代码中常见的注释格式（如# Suppress all warnings、# Attempt to get user ID with id command）和逻辑结构契合 AI 代码的特征。此外，还使用了异常处理（pass 语句）和 SSL 证书验证禁用（verify=False），这也是 AI 生成代码的常见模式。

上述代码中的 https://eoyyiyqubj7mquj.m.pipedream.net 是 Pipedream 提供的 HTTP 端点，可用于接收、存储和处理数据。发送至该 URL 的任何信息会被记录，并可用于后续分析或操作。

启明星辰提醒企业和开发者需提高警惕，仔细审查软件的来源，加强安全防护措施，并定期检查依赖项的安全性，以防止潜在的数据泄露和供应链攻击风险。

防范钓鱼链接的措施

• 确认网站域名：仔细检查 URL，确保拼写无误，避免访问伪造的官方域名（例如 deepseeklogins.com 可能伪装成 deepseek.com），确保网站使用 HTTPS，但应谨防 HTTPS 并不代表网站一定安全。

• 谨慎点击陌生链接：避免随意点击来源不明的邮件、社交媒体或聊天软件中的链接。

• 定期更换密码：使用强密码，定期更换，并在不同网站使用不同的账号信息。

• 监控账户异常行为：一旦发现可疑活动，立即修改密码并联系官方支持。

防范供应链攻击措施

• 审查第三方依赖关系：在下载软件包前，应核实 PyPI 发布者信息、下载量和社区评价，以避免使用来源不明的库。

• 验证软件完整性：使用 hash 校验（如 SHA256 等）确保软件包未被篡改。

• 限制环境变量的暴露：在代码或日志中不要明文存储 API 密钥，采用环境隔离和最小权限原则。

• 监控异常流量：定期分析 HTTP 请求日志，防止敏感信息被传送至未知服务器。

广告声明：文中包含的对外链接（如超链接、二维码、口令等）旨在提供更多信息，节省选择时间，结果仅供参考。