В конце апреля команда безопасности Microsoft зафиксировала компрометацию пакета mistralai версии 2.4.6 в репозитории PyPI — главном хранилище библиотек для Python. Именно оттуда миллионы разработчиков каждый день берут готовые библиотеки для своих проектов — одной командой в терминале. Злоумышленники внедрили вредоносный код прямо в файл mistralai/client/__init__.py — это стартовая точка библиотеки, которая запускается в момент подключения пакета к проекту. То есть достаточно написать import mistralai — и машина уже скомпрометирована.
Технически сразу после импорта код тайно обращается к адресу 83.142.209.194 и скачивает файл transformers.pyz во временную папку /tmp/. Название выбрано намеренно: transformers — это широко известная библиотека от Hugging Face, которую используют почти все ML-разработчики. Случайный администратор в логах ничего подозрительного не заметит. Следом запускается второй этап — основная нагрузка, которая собирает данные для авторизации: токены, ключи, переменные среды, сохраненные сессии.
Перед тем как начать работу, вредонос проверяет язык операционной системы. Если Linux настроен на русский — процесс завершается без каких-либо действий. Это не случайность, так как хакерские группы из СНГ давно придерживаются негласного правила: не трогать пользователей в странах бывшего СССР. Причина сугубо прагматичная — атаки на «своих» привлекают внимание местных силовых структур, а это прямой риск для авторов. Поэтому проверка языка системы стала стандартным элементом в арсенале русскоязычных киберпреступников.
Для систем, которые вирус геолоцирует как израильские или иранские, предусмотрен отдельный сценарий. С вероятностью один к шести запускается команда rm -rf /. Она рекурсивно и без предупреждения удаляет все содержимое корневой файловой системы. Восстановить данные после этого крайне сложно, а чаще — невозможно. Вероятность один к шести прописана: в коде буквально стоит случайное число от 1 до 6, и только при одном конкретном результате удаление не срабатывает.
Если в проектах есть mistralai, нужно немедленно проверить версию пакета. Зараженной является 2.4.6 — ее следует удалить и обновиться. Дальше — заблокировать IP-адрес 83.142.209.194 на уровне сети и проверить файловую систему на наличие /tmp/transformers.pyz, файла pgmonitor.py и службы pgsql-monitor.service. Все токены и ключи, которые были активны на затронутых машинах, нужно отозвать и перевыпустить. Изолированные Linux-хосты стоит не возвращать в работу до полной проверки.
Также недавно писали, что врачи впервые поставили диагноз зависимости от ИИ. Подробности в статье.