Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Хакеры распространяют вредоносное ПО под видом высокотехнологичных ИИ-инструментов DeepSeek

6
1 мин
Злоумышленники используют растущую популярность DeepSeek, чтобы распространять вредоносные программы, замаскированные под инструменты для работы с ИИ. В репозитории PyPI появились два пакета, «deepseek» и «deepseekai», названия которых перекликаются с китайской компанией, разработавшей языковую модель R1. В последние месяцы этот стартап привлёк к себе особое внимание, что и стало поводом для атаки. Примечательно, что вредоносные пакеты были загружены с аккаунта, созданного ещё летом 2023 года, но до сих пор не проявлявшего активности. Специалисты Positive Technologies, выявившие угрозу и проинформировавшие об этом администрацию PyPI, подчеркнули, что программы, которые выдавали себя за инструменты для взаимодействия с DeepSeek AI, на деле оказались программами для хищения информации. Как выяснили исследователи, после установки и запуска вредоносные компоненты начинали сбор данных, включая системные параметры, учётные данные пользователей и переменные среды. Среди последних могли находи
Изображение: Solen Feyissa (unsplash)
Изображение: Solen Feyissa (unsplash)

Злоумышленники используют растущую популярность DeepSeek, чтобы распространять вредоносные программы, замаскированные под инструменты для работы с ИИ. В репозитории PyPI появились два пакета, «deepseek» и «deepseekai», названия которых перекликаются с китайской компанией, разработавшей языковую модель R1. В последние месяцы этот стартап привлёк к себе особое внимание, что и стало поводом для атаки.

Примечательно, что вредоносные пакеты были загружены с аккаунта, созданного ещё летом 2023 года, но до сих пор не проявлявшего активности. Специалисты Positive Technologies, выявившие угрозу и проинформировавшие об этом администрацию PyPI, подчеркнули, что программы, которые выдавали себя за инструменты для взаимодействия с DeepSeek AI, на деле оказались программами для хищения информации.

Как выяснили исследователи, после установки и запуска вредоносные компоненты начинали сбор данных, включая системные параметры, учётные данные пользователей и переменные среды. Среди последних могли находиться ключи API, пароли от баз данных и токены, позволяющие получить доступ к инфраструктуре жертвы.

Скомпрометированная информация затем отправлялась на сервер управления по адресу eoyyiyqubj7mquj.m.pipedream[.]net. При этом использовалась легальная платформа Pipedream, предназначенная для автоматизации рабочих процессов.

Эксперты подчёркивают, что похищенные сведения могут дать злоумышленникам возможность проникнуть в облачные сервисы, базы данных и другие критически важные ресурсы. В отчёте Positive Technologies отмечается, что вредоносный код активируется в момент выполнения команд deepseek или deepseekai через терминал.

Исследователи напоминают, что переменные среды нередко содержат чувствительные данные, необходимые для работы приложений: например, API-ключи сервисов хранения, доступ к базам данных или разрешения для работы с инфраструктурными ресурсами.

По имеющимся данным, пакеты deepseek 0.0.8 и deepseekai 0.0.8 появились в каталоге PyPI 29 января 2025 года с разницей всего в двадцать минут.

Оригинал публикации на сайте CISOCLUB: "Хакеры распространяют вредоносное ПО под видом высокотехнологичных ИИ-инструментов DeepSeek".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются