Araştırmacılar kötü niyetli buldular Deepseek-Smownissing Python Paket Dizinine (PYPI) ekilen paketler; Kod aslında Infostealers ile yüklenir. Uzmanlar, muhtemelen sahte, kötü niyetli Deepseek paketleriyle dolu tek platform olmadığı ve geliştiricilerin dikkatle devam etmesi gerektiği konusunda uyarıyorlar.
Pozitif teknolojilere sahip araştırmacılar, “Deepseekai” ve “Deepseek” olarak etiketlenmiş kötü niyetli paketleri keşfettiler ve geliştiricileri yasal olduklarını düşünmeye çalıştırmaya çalışıyorlar.
“Saldırı geliştiricileri hedef aldı, makine öğrenimi [ML] Deepseek’i sistemlerine entegre etmek isteyebilecek mühendisler ve sıradan AI meraklıları, ” Pozitif Teknolojiler Araştırmacılar yazdı bir analizde.
Rapora göre, “BVK” saldırısının arkasındaki hesap, Haziran 2023’te oluşturuldu ve kampanya 29 Ocak’ta hayata geçene kadar hareketsiz oturdu. Uygulandığında araştırmacılar, API anahtarları, veritabanı kimlik bilgileri ve izinler de dahil olmak üzere hassas verileri çalmak için hem “Deepseeek” hem de “Deepseekai” in infostaler’ları düşürdü.
. Kötü niyetli pypi paketleri Araştırmacılar, Silindi, ancak PIP Paket Manager ve Bandersnatch Yansıtma Aracı kullanılarak 36 kez indirildiklerine ve tarayıcı kullanılarak 186 kez indirildiklerine dair kanıtlar var.
Wallarm ürün başkan yardımcısı Tim Erlin, “Bazen API Keys sızdırılmıyor, sadece çalındı.” Diyor. “Bu olay, hakim olan haber döngüsünden yararlanan saldırganların iyi bir örneğidir. Bir bağlantıya tıklamak veya bir PYPI paketini kurarak, popüler bir şey yaptığınızda, göreve sağlıklı bir şüphecilik dozuyla yaklaşmak en iyisidir.”
Black Duck ile Kıdemli Güvenlik Çözümleri yöneticisi Mike McGuire’a göre, bu zihniyet geliştiricilerin benzer siber güvenlik kaymaları yapmaktan kaçınmasına yardımcı olabilir.
McGuire, “Birçok geliştirici, Deepseek’i görevlerinde kullanma isteğinde, sınırlı, zayıf bir üne sahip bir hesaptan paketler indirdiklerini ve sonuç olarak çevre değişkenlerini ve sırlarını tehlikeye attıklarını ‘kırmızı bayrağını kaçırdı.”
İronik bir şekilde, Deepseek’in yeteneklerinin ne kadar ileri sürüldüğü göz önüne alındığında, saldırının kendisi Michael Lieberman, Kusari’deki CTO, Michael Lieberman’dı.
“Yazım hatası saldırıları Popüler çünkü işe yarıyorlar, “Kusari işaret ediyor.” Bir geliştiricinin bir kelimeyi yanlış yazması veya benzer bir ada sahip bir şey kullanması kolaydır ve aniden uygulamaları kötü amaçlı kodda çekilir. Popüler veya modaya uygun teknolojiler özellikle risk altındadır, çünkü potansiyel kurbanların havuzu daha büyüktür. “
Daha hızlı kod yazmak için yapay zeka kullanan rakipler
Yeni bir bükülmede, araştırmacılar aktörlerin kötü amaçlı kodu yazmak için kullandıkları tehdit kanıtı buldular.
Wallarm’ın Erlin, “Meyveden çıkarılan kodun AI yardımı ile yazıldığına dair açık göstergeler var ve AI’nın kötü niyetli niyet için kullanılan gerçek dünya örneği sağlıyor.” Diyor.
Erlin, geliştiricilerin benzer kötü amaçlı paketlerin çeşitli platformlar arasında dağılmasını beklemesi gerektiğini de sözlerine ekledi.
“Geliştiriciler, malintent olsun ya da olmasın, daha verimli olmak için AI kullanmaya büyük ölçüde yatırım yapıyorlar.” Ekliyor. “AI, geliştiricilerin daha fazla kod yazmasına izin veriyor, daha hızlı. Kötü amaçlı kod hacminin genel olarak kodla aynı oranda genişlediğini görmeyi beklemeliyiz.”
Çevrelerini bu tehditlerden korumak için, Blueflag Security CEO’su Raj Mallempati, geliştiricilerin yazılım geliştirme yaşam döngüsü (SDLC) boyunca güçlü güvenlik uygulamaları uygulamaları gerektiğini söylüyor. Bu, yazılım kompozisyon analizi (SCA) araçlarının yanı sıra otomatik güvenlik açığı taramasının, geliştirici ortamlarında doğrulanmamış paketlerin kullanımını sınırlamak ve tehdit istihbarat izlemesini kullanmak anlamına gelir.
Mallempati, “Bu son olay, geliştiricilerin OSS yazım hatası gibi tehditlere karşı özellikle korunma ihtiyacının altını çiziyor.” “Paket adlarını çift kontrol etmek ve Deepseek’ten gelen paket kaynaklarının doğrulanması burada anahtar olacaktır. Geliştiriciler, kötü amaçlı paketler indirmediklerinden emin olmak için GitHub bağımlısı gibi bağımlılık tarama araçlarını etkinleştirmelidir.”