从代码到钱包失窃：黑客如何在AI开发工具中埋下陷阱

2025-07-15 18:18:23

当AI成为目标

在AI技术飞速发展的当下，AI已经越来越广泛地融入了我们的日常生活。但也正因为AI技术的广泛应用，其自身面临的各种风险也随之增大。最近，360就捕获到了一起黑客攻击事件。其独特之处在于，黑客正是利用了AI开发工具的插件脚本进入受害者的系统，伺机对使用AI的开发人员展开攻击，并最终获利。

AI开发工具暗藏隐患

近期，有AI相关产业的开发者反馈，自己的数据遭到泄露或窃取，但始终查不到原因，这也引起了360安全团队的注意。经安全研究人员排查发现，攻击的根源竟然来自开发人员最为倚仗的核心工具——IDE（Integrated Development Environment，即集成开发环境）软件。

经过对受害用户开发环境进行分析，结合360云端大数据筛查比对，发现本次攻击主要集中在Cursor AI和Trae（含Trae CN）两款主流AI专用IDE开发工具。同时，由于这两款工具都是基于微软的开源IDE工具Visual Studio Code（VSCode）的衍生产物，所以原版的VSCode也在受影响范围内。

事件分析

在对被攻击设备进行系统排查后，最终攻击源头被锁定在一款名为“Solidity Language”的IDE插件上。该插件自称是为当前热门的智能合约开发语言Solidity，提供语法高亮、定义跳转、信息提示、快捷操作等实用功能的辅助工具。

图1. Solidity Language插件

但当分析人员追根溯源，找到该插件的安装目录时，发现其存放功能代码的src目录下竟异常简单，只有一个名为“extension.js”的JavaScript脚本文件。而这个脚本的代码也非常简单直接——仅仅是调用系统PowerShell从远程服务器中获取文件，并直接在本地后台隐藏运行。

图2. 恶意插件的唯一功能脚本extension.js内容

脚本会从远端服务器上获取一个名为1.txt的文件，该文件不是一个单纯的文本文件，而是一个PowerShell脚本。该脚本首先尝试查找系统中一款名为“ScreenConnect Client Service”的服务或软件，如果找不到，则会再次调用系统PowerShell，从远程服务器中获取另一个新文件再在本地后台隐藏运行。

图3. 名为1.txt的PowerShell脚本内容

而这次下载的2.txt同样是一个PowerShell脚本，其内容更加简单明了，仅是下载一款经黑客定制的远程控制软件ScreenConnect到受害用户的环境中，并进行静默安装。

图4. 名为2.txt的新脚本下载远程控制软件并静默安装

这款名为ScreenConnect的远程控制软件，本身是一款用来远程管理设备的“正规”软件，但这个被下载的安装包经过黑客的“深度定制”。我们发现其内置的system.config配置文件被篡改，直接硬编码了用于连接的密钥参数和程序连接的远端控制服务器地址，这让黑客在受害用户不知情、不授权情况下，可以控制其设备。