Cibercriminosos estão explorando a crescente popularidade da DeepSeek para distribuir pacotes maliciosos no Python Package Index (PyPI). Esses pacotes, disfarçados como ferramentas legítimas para a plataforma de inteligência artificial, eram, na verdade, infostealers projetados para roubar dados sensíveis de desenvolvedores.
Os pacotes maliciosos, chamados "deepseeek" e "deepseekai", imitavam o nome da startup chinesa DeepSeek AI, desenvolvedora do modelo de linguagem R1, que recentemente ganhou destaque no setor.
De acordo com pesquisadores que identificaram e reportaram a ameaça, os pacotes continham um código malicioso capaz de coletar informações do sistema e das variáveis de ambiente, incluindo chaves de API, credenciais de banco de dados e tokens de acesso a infraestruturas.
Os pacotes foram carregados no PyPI em 29 de janeiro de 2025, com um intervalo de apenas 20 minutos entre eles. O mais alarmante é que o upload foi feito por uma conta criada em junho de 2023, mas sem qualquer atividade anterior – uma tática comum entre cibercriminosos para evitar detecção.
Assim que o desenvolvedor executava os comandos deepseeek ou deepseekai no terminal, o malware era ativado, extraindo e enviando os dados roubados para um servidor de comando e controle (C2) hospedado na plataforma Pipedream, um serviço legítimo de automação. Com as credenciais comprometidas, os invasores poderiam acessar serviços em nuvem, bancos de dados e outros recursos protegidos.
Apesar da rápida ação da Positive Technologies e da equipe do PyPI, que bloquearam e removeram os pacotes, 222 desenvolvedores já haviam feito o download, sendo os principais afetados dos Estados Unidos (117), seguidos por China (36), Rússia, Alemanha, Hong Kong e Canadá.
Os desenvolvedores que utilizaram esses pacotes devem tomar medidas imediatas para mitigar o impacto do ataque:
✅ Alterar todas as chaves de API, tokens de autenticação e senhas utilizadas nos projetos afetados.
✅ Revisar logs de acessos e atividades incomuns nos serviços em nuvem e bancos de dados.
✅ Remover qualquer vestígio dos pacotes maliciosos do ambiente de desenvolvimento.
Esse incidente reforça a necessidade de práticas rigorosas de segurança ao baixar pacotes de repositórios públicos. Sempre verifique a autenticidade e a reputação de pacotes e desenvolvedores antes da instalação para evitar comprometimentos como esse.
Por Cláudio Fardin, Head of DFIR Team na Brasiline Tecnologia
Acompanhe os boletins de cibersegurança da Brasiline Tecnologia para se manter informado sobre os mais recentes ataques, tendências e estratégias de proteção digital. Com nossas análises especializadas, você estará sempre à frente das ameaças que podem comprometer a segurança da sua empresa.
Proteja seu futuro digital com conhecimento!
Novo FrigidStealer: Malware Infostealer Ameaça Usuários de macOS
Pagamentos de Ransomware Caíram 35% em 2024, Totalizando US$ 813,55 Milhões
Malware Impostor de Ferramentas DeepSeek AI Rouba Dados de Desenvolvedores no PyPI