Pozitif Teknolojiler Uzman Güvenlik Merkezi’ndeki (PT ESC) siber güvenlik araştırmacıları Python yazılımı. Saldırı, Deepseek AI’yı projelerine entegre edebilecek geliştiricilere, makine öğrenimi mühendislerine ve AI meraklılarına odaklandı.
Her şey, 29 Ocak 2025’te, Haziran 2023’te oluşturulmasından bu yana aktif olmayan “BVK” adlı şüpheli bir kullanıcının iki kötü amaçlı paket yüklediği: deepseeek veya deepseekai. Bu paketler, Deepseek ile meşru entegrasyonları taklit etmek için tasarlanmıştır, ancak kullanıcıların sistemlerinden hassas bilgileri çalmayı amaçlayan kötü amaçlı kod içermiştir.
Kurulduktan sonra, zararlı paketler sistem bilgilerini toplayan ve ortam değişkenlerini çalan komutlar yürüttü. Bu değişkenler genellikle bulut depolama, veritabanı erişimi veya diğer altyapı kaynakları için kimlik bilgileri gibi kritik veriler içerir. Çalınan bilgiler daha sonra bir geliştirici entegrasyon platformu olan Pipedream’de barındırılan bir komut ve kontrol (C2) sunucusuna gönderildi.
İlginç bir şekilde, Pt Esc’in Blog yazısı Hackread.com ile paylaşılan saldırganlar, kodun işlevselliğini açıklayan yorumlarıyla kanıtlandığı gibi, kötü amaçlı komut dosyalarını yazmak için AI destekli bir asistan kullanıyor gibi görünüyordu. AI tarafından oluşturulan içerik Ve kodlar önemli bir siber güvenlik tehdidi haline geldi ve uzmanlar riskin sadece arttığını söyledi.
Hızlı eylem
Kötü niyetli paketleri keşfettikten sonra, pozitif teknolojiler, paketleri bir saat içinde karantinaya çıkaran ve silen Pypi yöneticilerini hemen uyardı. Bununla birlikte, bu kısa pencere sırasında, paketler aşağıdaki ülkelerdeki çeşitli araç ve yöntemlerde 222 kez indirilmişti:
- Almanya, Kanada ve Hong Kong da dahil olmak üzere diğer ülkeler de indirmeler bildirdi.
Deepseek’in popülaritesini sömürmek
Saldırı büyük ölçekli zararlara neden olmadan önce yer almasına rağmen, açık kaynaklı depoların güvenliği hakkında önemli sorular sunmaktadır. Siber suçlular sıklıkla ortaya çıkan eğilimleri izler ve şüphesiz kullanıcıları kandırmak için onları kullanırlar. Bu örnekte, Deepseek’in popülaritesi Muhtemelen büyüyen kullanıcı tabanından yararlanmak isteyen kötü niyetli aktörleri cezbetti.
Hackread.com’a yapılan bir yorumda, Jason omzumSectigo’daki Kıdemli Üyesi, bu olayın etkisini vurguladı: “Bu rapor, saldırganların güvenilir adlandırma kurallarından nasıl yararlandığını ve açık kaynak ekosistemindeki otantik paket kaynaklarına güvenmenin altını çiziyor. Tehdit hızlı bir şekilde etkisiz hale getirilirken, yazılım tedarik zincirleriyle ilişkili artan riskleri hatırlatıyor. ”
Kendinizi benzer tehditlerden korumak
Bu olay, özellikle PYPI gibi kamu depolarından yazılım indirip yüklerken dikkatli olmak için iyi bir işarettir. İşte güvende kalmanıza yardımcı olacak birkaç hızlı ipucu:
- Güvenlik Araçları: Gerçek zamanlı olarak kötü niyetli aktivite için PYPI’yi izleyen Pozitif Teknolojiler Pyanalysis gibi hizmetleri kullanın.
- Paket kaynaklarını doğrulayın: Yalnızca iyi kurulmuş paketleri güçlü bir üne sahip indirin. Yeni yüklenen araçlara, özellikle de popüler projelere benzer isimlere sahip olanlara dikkat edin.
- Bağımlılıkları Tarama: Paket kodunu yüklemeden önce analiz etmek için araçları kullanın.
- Çevre Değişkenlerini İzleyin: Sisteminizde saklanan hassas verilere dikkat edin ve mümkün olduğunca maruz kalmasını sınırlayın.