Группа Supply Chain Security департамента Threat Intelligence экспертного центра Positive Technologies (PT ESC) обнаружила и предотвратила вредоносную кампанию в репозитории пакетов Python Package Index (PyPI). Атака нацелена на разработчиков, ML-специалистов и обычных пользователей, которые хотели бы интегрировать DeepSeek в свои системы.
Учетная запись злоумышленника была создана в июне 2023 года, однако не проявляла никакой активности до момента регистрации вредоносных пакетов deepseeek и deepseekai 29 января. После установки пакетов и запуска регистрируемых ими консольных команд происходит кража информации о пользователе, его компьютере и переменных окружения. Последние часто содержат конфиденциальные данные, необходимые для работы приложений, например учетные данные для БД, доступы к другим инфраструктурным ресурсам. В качестве контрольного сервера, куда выгружается информация, атакующий использовал сервис Pipedream, который является интеграционной платформой для разработчиков.
«Злоумышленники следят за современными трендами и часто используют их в своих целях. Не стал исключением и взлет популярности DeepSeek: под прицелом оказались пользователи, интересующиеся нейросетью. Примечательно и то, что код атакующего был создан с использованием ИИ-ассистента, на что указывают характерные комментарии, объясняющие строки кода, — отметил Станислав Раковский, руководитель группы Supply Chain Security департамента Threat Intelligence PT ESC. — Вредоносные пакеты были загружены в популярный репозиторий вечером 29 января, и уже через несколько минут их обнаружил сервис по выявлению подозрительных и вредоносных пакетов PT PyAnalysis. Мы оперативно уведомили администраторов PyPI, пакеты уже удалены. Скачать их успели более 200 раз».
В связи с повышенным интересом к сервису DeepSeek эта атака могла бы привести к большому количеству жертв, если бы вредоносная активность пакета дольше оставалась незамеченной. Эксперты Positive Technologies рекомендуют быть внимательнее к ранее неизвестным пакетам и пользоваться сервисом PT PyAnalysis. Продукт в режиме реального времени анализирует новые релизы, создаваемые пользователями PyPI, на предмет нежелательной активности.
Оригинал публикации на сайте CISOCLUB: "Positive Technologies зафиксировала и остановила попытки использовать deepseek для атак".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.