Поделиться
Россияне предотвратили хакерскую атаку на репозиторий Python, организованную с помощью DeepSeek
Эксперты Positive Technologies (PT ESC) выявили и предотвратила вредоносную кампанию в репозитории Python Package Index (PyPI). Атака была направлена на разработчиков, специалистов в области машинного обучения и обычных пользователей, желающих интегрировать DeepSeek в свои системы. Примечательно, что хакеру помогала нейросеть.
DeepSeek использовался хакерами
В репозитории пакетов Python Package Index (PyPI) обнаружили вредонос, замаскированный под DeepSeek. Примечательно, что основная часть кода была написана нейросетью.
Хакерскую кампанию предотвратили специалисты группы Supply Chain Security департамента Threat Intelligence экспертного центра Positive Technologies (PT ESC). Об этом CNews сообщили представители компании.
Учетная запись злоумышленника была создана в июне 2023 г., но оставалась неактивной вплоть до 29 января 2025 г., когда были зарегистрированы вредоносные пакеты deepseeek и deepseekai.
После установки этих пакетов и выполнения связанных с ними консольных команд происходила кража данных пользователя, включая информацию о его компьютере и переменных окружения. Последние часто содержат конфиденциальные сведения, такие как учетные данные для баз данных, доступ к инфраструктурным ресурсам и другие важные данные, необходимые для работы приложений.
В качестве сервера для сбора украденной информации злоумышленник использовал платформу Pipedream, предназначенную для интеграции и автоматизации процессов разработки.
Вредоносные пакеты были загружены в популярный репозиторий вечером 29 января 2025 г., и уже через несколько минут их обнаружил сервис по выявлению подозрительных и вредоносных пакетов PT PyAnalysis. Эксперты компании сообщают, что оперативно уведомили администраторов PyPI, а те своевременно удалили вредоносный код с репозитория. Однако на тот период его успело скачать более 200 пользователей. При этом четверо из них россияне.
Из-за растущей популярности сервиса DeepSeek данная атака могла бы привести к значительному числу жертв, если бы вредоносная активность пакета оставалась незамеченной дольше.
Подробности работы вредоносного ПО
В своем отчете специалисты компании отметили, что функции обнаруженных пакетов направлены на сбор информации о пользователе и его компьютере, а также на кражу переменных окружения после их установки.
Вредоносная деятельность запускается через консольные команды deepseeek или deepseekai, в зависимости от установленного пакета. Переменные окружения часто содержат важные конфиденциальные данные для работы приложений: API-ключи для S3-хранилищ, учетные данные для баз данных и доступ к другим ресурсам инфраструктуры.
Разработчик этих пакетов использовал сервис Pipedream в качестве контрольного сервера для передачи данных — это интеграционная платформа для разработчиков.
Хакеру помогала нейросеть
Руководитель группы Supply Chain Security департамента Threat Intelligence PT ESC Станислав Раковский отметил, что код атакующего был создан с использованием ИИ-ассистента, на что указывают характерные комментарии, объясняющие строки кода.
На вопрос CNews о том, можно ли вычислить какой нейросетью был написан код эксперт ответил следующее: «Увы, список достаточно широк, чтобы выбрать одну сеть, которая расписывает код в схожей манере — OpenAI ChatGPT 4/o1, Claude, Gemini, тот же DeepSeek, self-hosted Llama, какие-нибудь EvilGPT — вариантов мириады».
Станислав также отметил, что вендоры в разной степени стараются сделать свои решения безопасными, в том числе уменьшить возможность создавать с его помощью вредоносное ПО.
«Наибольшей степенью ограничений сейчас славится ChatGPT, и и её сравнительно легко заставить написать такой же по функционалу вредоносный код» — подчеркнул специалист.
Рекомендации пользователям
Как объяснили CNews эксперты Positive Technologies, в случае с пользователями, уже установившим вредонос на свой ПК, простого его удаления будет недостаточно.
«Необходимо также инвалидировать (сделать недействительными) все секреты, которые утекли злоумышленнику, чтобы он ими не мог воспользоваться».
Станислав Раковский также пояснил, что такие атаки происходят с завидной регулярностью. «Не проходит и месяца, как появляются новости об очередном вредоносном пакете. Это обусловлено сравнительной простотой добавления новых пакетов в репозитории».
Чтобы избегать подобных хакерских атак пользователям рекомендуется ограничивать окружение запуска программ. Например предварительно проверять их в VM («Виртуальная машина»). Либо видением аудита зависимостей (процесс проверки сторонних библиотек, фреймворков или компонентов, которые используются в проекте) или карантина зависимостей (временная изоляция подозрительных или непроверенных компонентов до тех пор, пока они не будут проанализированы и признаны безопасными).
Эксперты Positive Technologies также рекомендуют проявлять повышенную осторожность при использовании ранее неизвестных пакетов и советуют воспользоваться сервисом PT PyAnalysis. Этот инструмент в режиме реального времени анализирует новые релизы, публикуемые на платформе PyPI, и выявляет потенциально опасные или подозрительные действия, что помогает предотвратить угрозы на ранних этапах.
Данные пользователей DeepSeek ранее утекали в сеть
Эксперты из компании по облачной безопасности Wiz Research сообщили о серьезной утечке конфиденциальной информации из базы данных китайской нейросети DeepSeek. Данное исследование было опубликовано в блоге компании в конце января 2025 г.
Представители Wiz Research отметили, что они своевременно уведомили разработчиков DeepSeek о возникшей проблеме, и неполадка была быстро устранена.
По их данным, в открытый доступ попали более миллиона строк информации, включая историю чатов, секретные ключи, детали бэкенда и другие конфиденциальные данные.
Эта ситуация представляет собой риски как для пользователей, так и для самой компании DeepSeek. Злоумышленник мог получить доступ к личным данным и сообщениям чата, а также, потенциально, завладеть паролями и локальными файлами с служебной информацией.
DeepSeek провалил все тесты на безопасность
31 января 2025 г. исследователи из Cisco и Университета Пенсильвании изучили безопасность китайского чат-бота DeepSeek R1. Результаты тестов оказались неутешительными: система не смогла блокировать ни один из 50 потенциально опасных запросов.
Сравнение с другими популярными моделями показало значительные различия: модель Llama 3.1-405B от Meta оказалась уязвимой на 96%, GPT-4 от OpenAI – на 86%, Gemini 1.5 pro от Google – на 64%, Claude 3.5 Sonnet от Anthropic – на 36%, а O1 preview от OpenAI – на 26%. Эксперты предполагают, что низкая устойчивость DeepSeek R1 к вредоносным запросам может быть следствием компромиссов в области безопасности, принятых при разработке этой модели.
Чтобы оценить уровень защиты, специалисты применили метод алгоритмического взлома, используемый для обнаружения уязвимостей в ИИ-моделях. Для этого они разработали специализированные команды и запросы, которые позволяли обойти встроенные фильтры и системы безопасности.
Тестирование было проведено с помощью набора данных HarmBench, включающего 400 примеров вредоносных сценариев, распределенных по семи категориям, таким как кибератаки и дезинформация. DeepSeek R1 показал высокую уязвимость во всех тестах, что вызывает серьезные опасения.
Поделиться
Короткая ссылка
