資安公司 Push Security 揭露一波名為「
LLMShare」的惡意廣告攻擊活動。攻擊者濫用 ChatGPT 的內容分享功能,在合法的 OpenAI 網域上架設偽裝的服務中斷頁面,誘導用戶下載惡意程式。
攻擊手法:合法網域成掩護
攻擊者透過 Google 廣告,將搜尋 ChatGPT 的用戶導向一個託管於 chatgpt.com 的惡意 ChatGPT 分享頁面。用戶點入後看到的不是對話紀錄,而是一則
偽造的服務中斷通知:宣稱網頁版因流量過高暫時無法使用,並要求改下載桌面應用程式。
此攻擊的特殊之處在於,偽造通知並非架設在攻擊者控制的外部基礎架構上,而是利用 ChatGPT 的渲染機制直接呈現。
攻擊者以自訂 HTML 頁面,透過 ChatGPT 提示詞生成內容,並以 chatgpt.com/s/ 分享連結發布,讓釣魚頁面得以用合法的 ChatGPT 網址對外提供。Push Security 指出,該頁面甚至保留「Show code」與「Remix with ChatGPT」等介面元素,可看出
偽造通知實際由 HTML 與 CSS 渲染而成。
若用戶點擊下載按鈕,將被導向 openew[.]app(仿冒 OpenAI 桌面應用程式下載入口)。
該網站採用遮蔽(cloaking)技術:對 URLScan 等資安平台的掃描請求僅顯示無害的 AR/VR 公司頁面;對真實用戶則提供 macOS 與 Windows 版本的惡意下載檔案。
資安外媒在沙盒測試 Windows 版本時發現,其會執行多個指令以判斷裝置是否為真實電腦或虛擬機器。雖然最終部署的酬載尚不明確,但過去濫用 AI 平台分享功能的類似攻擊活動曾散播資訊竊取程式。
Claude Artifacts 同樣遭到濫用
Push Security 也觀察到攻擊者濫用 Anthropic 的 Claude Artifacts 功能,架設 ClickFix 風格的誘餌頁面,誘騙用戶執行惡意指令。
AI 平台分享功能遭濫用並非首次。今年稍早,威脅行為者曾透過 Google 廣告,將搜尋 Claude 下載的用戶導向含有惡意安裝指示的 Claude 分享對話頁面;另有攻擊活動濫用 ChatGPT 與 Grok 的分享對話功能,偽裝成軟體安裝指南,誘導受害者執行惡意指令。
AI 開發工具成供應鏈攻擊目標
在開發者工具方面,Aikido Security 同期揭露 npm 套件
codexui-android 遭植入惡意程式碼的供應鏈攻擊事件。該套件每週下載逾 2.9 萬次;惡意程式碼在套件發布約一個月後才被引入,並持續竊取 OpenAI Codex 的身分驗證金鑰,外洩至偽裝成 Sentry 監控平台的攻擊者伺服器。由於其中的更新金鑰(refresh_token)不會過期,持有者可無限期冒充受害者身分。同一威脅行為者亦透過 Google Play 上的 Android 應用程式建立第二條攻擊管道,相關應用程式合計安裝次數逾 6 萬次。
延伸閱讀:OpenAI Codex 憑證遭雙管道攻擊竊取,refresh_token 永不過期釀長期滲透風險
防護建議
- 對搜尋引擎廣告連結保持高度警覺,即便目標網址看似來自合法網域。
- 僅從官方網站或應用程式商店下載軟體,不信任中斷通知或彈出視窗中的下載按鈕。
- 開發者應將 ~/.codex/auth.json 視同密碼保管,避免提交至版本控制或在任何管道分享。
- 定期稽核已安裝的 npm 套件,並在發現異常後立即撤銷相關 API 金鑰與身分驗證憑證。
本文轉載自 BleepingComputer、TheHackerNews。