Positive Technologies зафиксировала и остановила попытки использовать deepseek для атак

Вредоносные пакеты были загружены в главный репозиторий Python

Группа Supply Chain Security департамента Threat Intelligence экспертного центра Positive Technologies (PT ESC) обнаружила и предотвратила вредоносную кампанию в репозитории пакетов Python Package Index (PyPI)¹. Атака нацелена на разработчиков, ML-специалистов и обычных пользователей, которые хотели бы интегрировать DeepSeek в свои системы.

Учетная запись злоумышленника была создана в июне 2023 года, однако не проявляла никакой активности до момента регистрации вредоносных пакетов deepseeek и deepseekai 29 января. После установки пакетов и запуска регистрируемых ими консольных команд происходит кража информации о пользователе, его компьютере и переменных окружения. Последние часто содержат конфиденциальные данные, необходимые для работы приложений, например учетные данные для БД, доступы к другим инфраструктурным ресурсам. В качестве контрольного сервера, куда выгружается информация, атакующий использовал сервис Pipedream, который является интеграционной платформой для разработчиков.

В связи с повышенным интересом к сервису DeepSeek эта атака могла бы привести к большому количеству жертв, если бы вредоносная активность пакета дольше оставалась незамеченной. Эксперты Positive Technologies рекомендуют быть внимательнее к ранее неизвестным пакетам и пользоваться сервисом PT PyAnalysis. Продукт в режиме реального времени анализирует новые релизы, создаваемые пользователями PyPI, на предмет нежелательной активности.

1. Репозиторий пакетов Python Package Index используется по умолчанию в самых популярных пакетных менеджерах pip, pipenv, poetry.