Специалисты по информационной безопасности компании Positive Technologies раскрыли новую вредоносную кампанию, нацеленную на пользователей популярной нейросети DeepSeek. Злоумышленники распространяли вредоносное ПО через репозиторий PyPI, создав поддельные пакеты, имитирующие официальные клиенты DeepSeek AI.
Механизм атаки и технические детали
29 января 2024 года злоумышленник, действующий под учетной записью bvk, опубликовал два вредоносных пакета: deepseeek и deepseekai. Примечательно, что аккаунт был создан еще в июне 2023 года, но оставался неактивным до момента проведения атаки. Вредоносные пакеты активировались при выполнении соответствующих консольных команд и функционировали как инфостилеры — программы для кражи конфиденциальной информации.
Цели и последствия атаки
Основной целью вредоносного ПО был сбор критически важной информации, включая переменные окружения, которые часто содержат sensitive-данные: API-ключи для облачных хранилищ, учетные данные баз данных и доступы к инфраструктурным ресурсам. Для экфильтрации похищенных данных атакующие использовали интеграционную платформу Pipedream, настроив управляющий сервер по адресу eoyyiyqubj7mquj.m.pipedream[.]net.
Масштаб распространения и реагирование
До момента обнаружения и удаления вредоносные пакеты были загружены более 200 раз: 36 загрузок через пакетный менеджер pip и систему зеркалирования bandersnatch, а также 186 скачиваний через браузеры и различные программные инструменты. Благодаря оперативному реагированию системы PT PyAnalysis, вредоносная активность была выявлена в течение нескольких минут после публикации пакетов.
Использование ИИ в создании вредоносного кода
Особый интерес представляет факт использования ИИ-ассистента для создания вредоносного кода, что подтверждается характерными комментариями в исходном коде. Это демонстрирует растущую тенденцию применения искусственного интеллекта не только в легитимных целях, но и для разработки вредоносного ПО.
Данный инцидент подчеркивает важность тщательной проверки устанавливаемых пакетов и необходимость использования только официальных источников программного обеспечения. Разработчикам и пользователям рекомендуется внимательно проверять названия пакетов, их авторов и историю публикаций перед установкой, а также регулярно проводить аудит используемых зависимостей на предмет потенциальных угроз безопасности.
