JetBrains恶意AI编码助手插件窃取API密钥 【冯站长说安全】2026年6月20日

JetBrains恶意AI编码助手插件窃取API密钥

安全研究人员披露，JetBrains Marketplace上出现至少15个恶意插件，伪装成基于DeepSeek和其他大型语言模型的AI编码助手，提供聊天、提交信息、代码审查、漏洞查找和单元测试等功能。已披露信息显示，相关活动至少自2025年10月底以来持续，最近一次新插件发布于2026年6月10日，其中CodeGPT AI Assistant和DeepSeek AI Assist两个插件下载量均超过25000次，但下载量真实性尚不明确。所有插件共享类似代码库，要求用户在设置面板输入OpenAI、SiliconFlow或DeepSeek等AI服务的API密钥。插件功能可按宣传运行，但会通过HTTP请求将用户提供的API密钥以明文形式发送至攻击者控制服务器。另有两款Chrome广告拦截扩展被发现可截取用户与多种AI聊天机器人的对话。

诺丁汉大学网络入侵事件泄露数据影响45万名学生

诺丁汉大学确认其学生记录系统遭黑客组织入侵，大量数据被窃取，影响在校学生和校友。已披露信息显示，该校已将事件报告给英国信息专员办公室，并与维护相关平台的第三方公司开展取证调查。ShinyHunters勒索团伙声称对事件负责，并发布部分据称被盗文件作为证明。该组织声称从诺丁汉大学及其马来西亚和中国校区窃取超过40GB文件，内容涉及学生财务数据、账单和支付信息、信用卡和支付详情以及校园门户导出数据。数据泄露通知服务称，事件影响454600名前任和现任学生，包含电子邮件地址、姓名、地址、电话、种族、残疾情况、护照号码及学业注册和学费支付相关信息。

GitHub宣布增强npm安装安全应对供应链攻击

GitHub宣布，预计下月发布的npm v12将引入多项安全变更，以限制供应链攻击中常被滥用的npm install行为。已披露信息显示，从版本12开始，除非明确批准，npm install将不再运行依赖项中的preinstall、install或postinstall脚本，也不再默认执行node-gyp触发的原生模块构建，或Git、本地文件和链接依赖项中的prepare脚本。除非明确允许，npm install也不会从Git仓库或远程URL解析依赖项。相关变化旨在减少依赖安装阶段的自动代码执行、Git依赖滥用和远程URL依赖解析风险。GitHub表示，npm 11.16.0及更高版本会在相关行为将于v12出错时显示警告。

SoFi香港子公司第三方数据库遭未授权访问

SoFi香港确认发生第三方数据泄露事件，攻击者未经授权访问了包含客户信息的供应商数据库。已披露信息显示，SoFi于2026年4月30日发现事件，涉事数据库属于SoFi Securities (Hong Kong) Limited，并由一家第三方供应商相关环境承载。公司表示调查仍在进行中，目前尚不清楚哪些具体数据可能受到影响，也未披露受影响客户数量、涉事供应商身份或是否存在勒索情况。SoFi称已对受影响账户增加额外安全保障和监控措施，并可能在客户联系支持或更改账户时要求额外验证。

Microsoft365 Copilot存在漏洞可泄露邮件和文件

安全研究人员披露，Microsoft365 Copilot存在名为SearchLeak的一键式数据泄露路径，攻击者可通过受信任的microsoft.com链接，从企业搜索中提取电子邮件、日历详情和索引文件。已披露信息显示，该问题被标记为CVE-2026-42824，并已在后端修复。攻击链由三个漏洞组成：Copilot企业搜索URL中的q参数可被解释为指令，响应流渲染过程中可在防护代码包裹输出前触发图片请求，内容安全策略又允许访问Bing域名，使Bing图片搜索端点成为数据外泄代理。该概念验证不需要密码或二次点击，只需目标点击链接即可触发。