PromptPwnd 攻擊、macOS 漏洞獎金與中國駭客訓練：近期資安威脅趨勢分析

近半年來，企業與個人使用的 CI/CD、雲端服務以及作業系統安全性都受到前所未有的挑戰。從 GitHub Actions 中 AI 代理的「PromptPwnd」到跨平台的 macOS 恶意程式 Evasive Panda，再到利用大型語言模型（LLM）進行魚叉式釣魚的中國駭客組織 UTA0388，這三條攻擊軸線共同描繪了一幅以 AI 為核心、以跨平台為前提、以地緣政治為驅動的全新威脅景觀。以下將從技術細節、攻擊手法、以及對策三個面向進行深入解析。

一、PromptPwnd：AI 代理中的 Prompt Hijacking

PromptPwnd 是一種針對 GitHub Actions 中 AI 代理（例如 GitHub Copilot、OpenAI API 等）所造成的提示注入攻擊。攻擊者可在工作流程檔（YAML）中植入惡意 pseudocode，或在程式碼或輸入文字中插入破壞性指令，最終使 AI 代理執行非預期的操作，進而取得執行環境的控制權。

攻擊流程大致如下：

• 1. 攻擊者編寫包含 malicious prompt 的工作流程檔。
• 2. 受害者將檔案推送至 GitHub，觸發 Actions 執行。
• 3. AI 代理在解析 prompt 時，將惡意指令帶入執行環境。
• 4. 攻擊者獲得執行 shell 或下載後門的權限。

此攻擊不僅利用了 AI 代理的「深度學習」特性，更利用了 CI/CD 系統缺乏對 prompt 內容的驗證。對於依賴雲端自動化的組織而言，PromptPwnd 代表了一個全新的「邊緣」威脅。

二、macOS 漏洞獎金與跨平台惡意程式的崛起

傳統上，Windows 系統長期被視為駭客的首選目標。然而，近兩年來中國駭客組織 Evasive Panda（又稱 Daggerfly）開始針對 macOS、Android 等平台開發新型惡意程式，並將其用於間諜與破壞活動。

• • Macma：一款模組化後門程式，能夠收集裝置指紋、截圖、鍵盤輸入，並支援遠端命令執行。研究人員發現其 C2 伺服器與 MgBot 權限提升工具共用同一 IP，顯示同一團體在不同工具間共享基礎架構。
• • MgBot：利用 Apache HTTP 伺服器漏洞分發惡意框架，並可透過 CVE-2021-30869（macOS 權限提升）進行進一步滲透。

macOS 的安全獎金計畫於 2023 年底正式啟動，吸引了大量安全研究員對 macOS 漏洞進行挖掘。雖然獎金數額相對較低，但對於專門針對 macOS 的攻擊者而言，任何一次成功利用都可能帶來巨額利潤。

三、中國駭客訓練與 LLM 釣魚：UTA0388 的新戰術

iThome 报道指出，從 2024 年 6 月起，中國駭客組織 UTA0388 應用大型語言模型（LLM）來生成高度逼真的釣魚訊息，針對台灣及亞太地緣政治議題進行魚叉式攻擊。

• • 釣魚郵件使用多語言（簡體中文、德文、法文、日文）寫作，並包含看似合法的附件與圖片。
• • 信件簽名使用隨機生成的電話號碼與 PGP 金鑰字串，顯示其利用 LLM 生成偽造身份。
• • 釣魚內容往往以「台灣半導體產業」或「地緣政治衝突」為主題，針對特定企業與研究機構。

此類攻擊不僅技術上難以偵測，還因為語言與文化元素高度貼近目標，降低了使用者的懷疑度。對於資安團隊而言，需將 AI 生成內容納入偵測模型之中。

四、AI 熱潮與供應鏈風險：台積電與全球晶片戰略

前數位發展部長黃彥男指出，AI 基礎設施投資已突破 5 兆美元，台積電作為全球晶片製造龍頭，成為國家級駭客與勒索集團的重點目標。供應鏈攻擊（如 T1195）與內部人員收買（T1078）同時存在，可能導致設計參數、製程技術被竊取，甚至使產線停工。

加之 AI 生成的惡意程式與自動化腳本，攻擊者能以更快的速度部署範圍廣泛的攻擊事件。為此，企業必須在硬體、軟體、流程三個層面上加強治理：

• 加強 CI/CD 安全：對工作流程檔進行靜態與動態分析，限制 AI 代理的執行權限。
• 加速 macOS 更新：確保所有 macOS 裝置都安裝最新安全補丁，並使用 MDM 管理遠端修補。
• AI 內容偵測：利用機器學習模型辨識 LLM 生成的釣魚郵件，結合威脅情報共享平台。
• 供應鏈防護：實施安全審計、合約安全條款、以及多層次驗證機制。

五、MITRE ATT&CK 對應

• T1566 – Phishing (釣魚)
• T1566.001 – Spearphishing via Link (釣魚連結)
• T1566.002 – Spearphishing via Attachment (釣魚附件)
• T1195 – Supply Chain Compromise (供應鏈攻擊)
• T1059 – Command and Scripting Interpreter (指令與腳本解譯器)
• T1059.007 – JavaScript (JavaScript 解析器，常見於 GitHub Actions)
• T1059.005 – Python (Python 解析器，部分 AI 代理使用者腳本)
• T1071 – Standard Application Layer Protocol (常用於 C2 通訊)
• T1212 – Steal Web Session Cookie (若受害者使用瀏覽器進行 AI 交互)

結語

PromptPwnd、macOS 跨平台惡意程式與中國駭客利用 LLM 進行釣魚，三者共同構成了 2024 年的關鍵資安風險要素。企業與個人若忽視 AI、雲端自動化與跨平台安全之交互點，將可能面臨難以預測且成本高昂的攻擊。唯有透過多層防禦、持續更新、以及對 AI 生成內容的警覺，才能在這場「不見血、無煙硝」的網路戰爭中站穩腳跟。

參考資料與原文來源

• 聯合報「全球掀不見血戰爭6網攻腳本解密中國駭客」(https://vip.udn.com/event/newmedia_cyber-attack)
• Facebook 文章「一種針對GitHub Actions中AI代理的prompt hijacking漏洞」(https://www.facebook.com/61550867465910/posts/%E6%94%BB%E6%93%8A%E6%89%8B%E6%B3%95%E4%B8%80%E7%A8%AE%E9%87%9D%E5%B0%8Dgithub-actions%E4%B8%ADai%E4%BB%A3%E7%90%86%E7%9A%84prompt-hijacking%E6%BC%8F%E6%B4%9Ethreat-actor-%E5%9C%A8%E7%A8%8B%E5%BC%8F%E7%A2%BC%E6%88%96%E8%BC%B8/122329367018028915/)
• iThome「中國駭客UTA0388鎖定台灣等亞太地緣政治議題，透過LLM」(https://www.ithome.com.tw/news/171861)
• iThome「臺灣及美國macOS用戶遭到鎖定，中國駭客Evasive Panda」(https://www.ithome.com.tw/news/164099)
• Yahoo新聞「AI 熱潮、資安風險升高前數發部長：駭客恐鎖定供應鏈」(https://tw.news.yahoo.com/ai-%E7%86%B1%E6%BD%AE-%E8%B3%87%E5%AE%89%E9%81%8A%E9%99%A3%E5%85%90%E5%9B%9E%E5%BF%83%E6%8E%88%E5%85%8B-140324259.html)

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。