Создатель вредоносного ПО на основе ИИ случайно «слил» собственный приватный токен GitHub

5 часов назад / Технологии → Новости / Технологии

Нас постоянно предупреждают о перспективе появления вредоносного ПО, созданного с помощью ИИ, но есть один важный фактор, работающий в нашу пользу: иногда оно просто ужасно.

Исследователи из Ox Security обнаружили вредоносный npm-пакет для кражи информации под названием mouse5212-super-formatter, предназначенный для атак на пользователей Claude. Этот неприятный пакет успел набрать 676 загрузок, прежде чем был раскрыт, после того как, по-видимому, созданное ИИ вредоносное ПО «слило» собственный приватный токен GitHub (через The Register).

Исследователи утверждают, что инфостилер маскировался под внутреннюю «утилиту синхронизации архивов и развертывания», но на самом деле он «аутентифицируется на GitHub (используя токен окружения или жестко прописанный запасной вариант), проверяет, существует ли целевой репозиторий, создает его при необходимости, а затем рекурсивно обходит локальную директорию и загружает каждый файл через GitHub Contents API».

Затем вредоносное ПО сохраняет украденные файлы в случайной папке, создаваемой при каждом запуске, а также записывает поддельный журнал сетевых подключений, чтобы «выполнение выглядело как диагностика, а не как кража».

Приватный токен GitHub позволил исследователям отследить украденные файлы и проанализировать вредоносное ПО, что вызвало подозрения в причастности кода, написанного ИИ. Учетная запись злоумышленника на GitHub, связанная с пакетом, с тех пор была удалена.

Моя любимая часть? Ox Security составила удобную диаграмму, показывающую, как все это работает, обозначив тип угрозы как «Infostealer/Malware-Slop» (Инфостилер/Вредоносная халтура).

«Хотя в последние годы злоумышленники активно использовали свои методы, это хороший пример того, как некоторые... используют ИИ для создания вредоносного ПО, не понимая основ операционной безопасности (opsec) и лучших практик», — говорится в заявлении компании.

«Теперь, когда порог для создания вредоносного кода значительно снизился, мы увидим, как все больше злоумышленников вступают в игру, загружая все больше халтурных вредоносных программ, в основном подражая APT-группам, чтобы урвать свой кусок пирога, пока npm не начнет полностью автоматически блокировать вредоносное ПО».

Что ж, эта особенно небезопасная, хм, угроза безопасности, похоже, была нейтрализована, и мы все можем спать спокойно. Эй, просто радуйтесь, что мы все еще находимся на ранних стадиях эпохи «автоголов» ИИ. Если дела будут развиваться такими темпами, эти истории с годами станут гораздо менее забавными.