Специалисты Positive Technologies выявили и пресекли вредоносную кампанию. Атака была направлена на пользователей DeepSeek, а также на разработчиков и специалистов в области машинного обучения, заинтересованных в интеграции этой нейросети.
Злоумышленник зарегистрировал учетную запись в репозитории Python Package Index (PyPI) еще в июне 2023 года, но активность проявил лишь 29 января, загрузив пакеты deepseeek и deepseekai.
После установки они крали данные о пользователе, его системе и переменных окружения, в которых могут содержаться учётные данные для баз данных и доступы к инфраструктурным ресурсам. Похищенная информация отправлялась на комнадный сервер через платформу Pipedream.
«Атакующие используют тренды в своих целях, и популярность DeepSeek не стала исключением. Интересно, что код вредоносных пакетов частично создан с помощью ИИ-ассистента — об этом говорят характерные комментарии», — отметил Станислав Раковский, руководитель группы Supply Chain Security.
Вредоносные пакеты загрузили более 200 раз, но атака была быстро выявлена с помощью сервиса PT PyAnalysis.
Positive Technologies советует проверять источники стороннего ПО и использовать инструменты анализа безопасности для защиты от подобных угроз.
