从官网下载也会中招?知名国产AI输入法遭“供应链投毒”
6月1日,瑞星威胁情报平台监测发现:国产某知名AI输入法遭遇“供应链投毒”。
该AI输入法官网提供的Windows版本安装包被黑客替换成了带毒文件。这意味着,即便用户是从官网下载软件,也存在被攻击的风险。
图:VirusTotal检测结果显示,相关安装程序被标记为恶意样本,并存在数字签名异常
瑞星安全专家发现,国产某知名AI输入法官网提供的Windows版安装包出现异常:
简单来说,就是有人把原本正常的安装包“掉包”了。用户从官网下载安装时,看到的依然可能是熟悉的安装界面,但后台运行的却是被植入恶意代码的版本。
瑞星安全专家分析,为了躲避用户察觉,这个恶意程序在运行过程中设计了多层伪装:
‼️ 在用户电脑后台创建一个看似正常的输入法相关文件夹;
‼️ 写入多个文件,其中既包含正常的输入法组件,也包含隐藏的恶意程序模块;
‼️ 释放一个伪装成更新程序的文件,其名称看起来与官方组件十分相似;
‼️ 利用正常程序加载隐藏的恶意代码,使攻击行为更难被发现;
‼️ 同时启动真正的输入法安装程序,让用户误以为整个安装过程一切正常。
这一系列操作,让用户看到的是正常的软件安装界面,而恶意程序则在后台悄悄完成部署。并且攻击者还对恶意代码进行了特殊加壳保护处理,增加了恶意代码被分析和还原的难度。
更值得警惕的是,攻击者最终投放的是远程控制木马(RAT),一旦运行成功,攻击者便可能获得对受害设备的远程控制能力。
⚠️ 远程控制电脑
简单来说,就是:攻击者不直接攻击用户,而是“混进软件的生产或分发链条中”,让用户在正常下载软件时“顺带中招”。
正因为利用了用户对官方渠道的信任,供应链攻击往往具有传播范围广、发现难度高等特点。
目前,该AI输入法官方已下架Windows版下载入口,官网现有链接的文件均已恢复为无病毒的正式版本。但如果你近期下载或安装过该AI输入法Windows版本,建议:
✅️ 对异常安装包(无签名、体积异常、行为异常)保持警惕
这起事件提醒我们:即使是“官方网站下载”,也不再等同于绝对安全。供应链攻击正在成为越来越隐蔽且高风险的网络安全威胁,提高安全意识、做好主动防护,才是抵御此类风险最有效的方式。
夜雨聆风
