Експерти компанії Positive Technologies виявили небезпечну кампанію з поширення шкідливого програмного забезпечення, спрямовану на користувачів популярної нейромережі DeepSeek. Зловмисники використовували репозиторій PyPI для розповсюдження підроблених пакетів, що імітують офіційні клієнтські бібліотеки DeepSeek AI.
Технічні особливості та механізм кібератаки
Наприкінці січня 2024 року в репозиторії PyPI з’явилися два шкідливі пакети – deepseeek та deepseekai. Зловмисник, що діяв під обліковим записом bvk, створеним ще в червні 2023 року, реалізував у цих пакетах функціонал інфостилера – програми для несанкціонованого збору конфіденційних даних. Активація шкідливого коду відбувалася при виконанні специфічних консольних команд.
Масштаби поширення та викрадені дані
До моменту виявлення та блокування шкідливі пакети були завантажені понад 200 разів через різні канали: 36 завантажень через pip та систему bandersnatch, 186 – через веб-браузери та інші інструменти. Основною метою атаки став збір критичних даних, включаючи змінні середовища, які часто містять API-ключі, облікові дані баз даних та доступи до інфраструктурних сервісів.
Інфраструктура атаки
Для ексфільтрації викрадених даних зловмисники налаштували командний сервер на платформі Pipedream за адресою eoyyiyqubj7mquj.m.pipedream[.]net. Система PT PyAnalysis змогла виявити шкідливу активність протягом кількох хвилин після публікації пакетів.
Роль штучного інтелекту у створенні шкідливого ПЗ
Особливу увагу привертає використання ШІ-асистента для розробки шкідливого коду, що підтверджується характерними коментарями в початковому коді. Це свідчить про тривожну тенденцію застосування технологій штучного інтелекту для створення зловмисного програмного забезпечення.
Цей інцидент демонструє критичну важливість ретельної перевірки сторонніх пакетів перед їх встановленням. Розробникам рекомендується використовувати тільки офіційні джерела програмного забезпечення, перевіряти репутацію авторів пакетів та регулярно проводити аудит залежностей. Впровадження автоматизованих систем моніторингу та захисту, подібних до PT PyAnalysis, стає необхідним елементом сучасної стратегії кібербезпеки.
