Des cybercriminels exploitent l’engouement pour DeepSeek et en profitent pour piéger les développeurs avec des logiciels malveillants générés par l’IA.
L’essor de DeepSeek suscite l’intérêt des développeurs depuis quelques semaines ! Cependant, apparemment les cybercriminels portent aussi un intérêt particulier pour cette technologie d’IA. Alors que beaucoup se précipitent à l’adopter, des attaquants déploient des logiciels malveillants générés par l’IA pour piéger leurs victimes.
DeepSeek infeste PyPi ? Des chercheurs alertent sur cette menace grandissante
Des chercheurs de Positive Technologies viennent d’alerter sur les packages malveillants dissimulés sur le « Python Package Index » (PyPi), usurpant l’identité de DeepSeek.
Ces faux modules baptisés « deepseekai » et « deepseeek », ont pour principal objectif de tromper les développeurs, les ingénieurs en apprentissage automatique et les passionnés d’IA en quête d’intégration de DeepSeek.
Une fois installés, ils déploient des infostealers capables de dérober des données sensibles, telles que des clés API et des identifiants de base de données. Selon les experts, cette attaque pourrait aussi toucher d’autres plateformes. Ainsi, les développeurs doivent avant tout redoubler de vigilance.
Le dégât a été limité grâce à la suppression des faux packages DeepSeek de PyPi. Malheureusement, le bilan est assez troublant, car les chercheurs affirment qu’ils ont été téléchargés 36 fois à partir du gestionnaire de paquets pip et l’outil de mise en miroir bandersnatch, ainsi que 186 fois via un navigateur.
Vous aimerez aussi cet article:
Des codes malveillants générés plus rapidement
Tim Erlin, vice-président des produits chez Wallarm, souligne que cette attaque illustre parfaitement comment les cybercriminels exploitent les tendances technologiques pour piéger leurs victimes. « Parfois, les clés API ne sont pas divulguées, elles sont simplement volées », explique-t-il.
Mike McGuire, expert en sécurité chez Black Duck, met en garde contre l’empressement des développeurs à intégrer DeepSeek, les amenant à négliger des signaux d’alerte évidents, comme l’origine douteuse des packages. C’est pour cela que des variables d’environnement et des secrets sont compromis.
Michael Lieberman, CTO de Kusari, souligne l’ironie de cette attaque « Les attaques de typosquatting sont populaires parce qu’elles fonctionnent », rappelle-t-il. En jouant sur des fautes de frappe ou des noms similaires, les attaquants ciblent des technologies en vogue, profitant d’un vaste public susceptible de tomber dans le piège.
Les cybercriminels ne se contentent pas d’exploiter l’IA comme appât. En fait, ils s’en servent aussi pour générer du code malveillant plus rapidement et efficacement. Selon les chercheurs, des indices clairs montrent que le code compromis des faux packages DeepSeek a été écrit avec l’aide de l’intelligence artificielle, illustrant ainsi son usage à des fins malveillantes.
Vous aimerez aussi cet article:
Comment se protéger contre le malware IA « DeepSeek » ?
Selon Tim Erlin, de Wallarm, ce type d’attaque ne se limitera pas à PyPi et que d’autres plateformes pourraient être ciblées. « L’IA permet aux développeurs d’écrire plus de code, plus vite, qu’ils aient de bonnes ou de mauvaises intentions », souligne-t-il. « Il faut s’attendre à voir le volume de code malveillant croître au même rythme que le code légitime. »
Pour contrer ces menaces, Raj Mallempati, PDG de BlueFlag Security, insiste sur l’importance d’intégrer des pratiques de sécurité rigoureuses tout au long du cycle de développement logiciel (SDLC).
Par ailleurs, il recommande surtout l’usage d’outils d’analyse de la composition logicielle (SCA), de scans automatisés des vulnérabilités et de la limitation des packages non vérifiés. « Cet incident met en évidence la nécessité pour les développeurs de se prémunir contre les attaques par typosquatting OSS », ajoute Mallempati.
La vérification des noms et des sources des packages DeepSeek s’impose également. En outre, il est essentiel d’activer des outils de surveillance des dépendances, comme GitHub Dependabot, afin d’éviter l’installation de modules malveillants.
