1,5 мільйона інсталяцій: підроблені розширення ChatGPT викрадали інформацію у розробників — Delo.ua
Більше 1,5 мільйона розробників VS Code стали жертвами шахрайських розширень, які видавали себе за ChatGPT. Ці програми, що мали вигляд штучних інтелектуальних помічників для програмування, насправді крали код, файли та особисту інформацію користувачів.
Цю інформацію наводить Delo.ua, посилаючись на статтю Cybernews.
Шкідливі додатки, що маскуються під ChatGPT
Понад 1,5 млн розробників встановили два розширення для VS Code, які маскувалися під ШІ-помічники на кшталт ChatGPT і справді виконували заявлені функції. Саме це, за словами дослідників KOI Security, і зробило їх особливо небезпечними: за корисним функціоналом ховався ідентичний шпигунський код.
Мова йде про розширення "ChatGPT - 中文版", яке має 1,35 мільйона встановлень, а також "ChatGPT -- ChatMoss", що було завантажене ще 150 тисячами користувачів. На момент проведення дослідження обидва плагіни залишалися доступними у маркетплейсі VS Code і займали провідні позиції в результатах пошуку за запитом "ChatGPT".
На відміну від легальних інструментів, таких як GitHub Copilot, які працюють з обмеженими частинами коду, підроблені розширення таємно копіювали весь вміст файлів під час їх відкриття. Інформація кодувалася у форматі Base64 і надсилалася через прихований iframe, що дозволяло уникати виявлення.
Окрім цього, сервер мав можливість дистанційно ініціювати масове викрадення файлів без необхідності втручання з боку користувача, здатний обробляти до 50 документів одночасно. Водночас, розширення збирали метадані через різні аналітичні системи, створюючи детальні цифрові профілі постраждалих.
У KOI Security припускають, що таке профілювання використовувалося для точкового відбору цінних даних - зокрема конфігураційних файлів, паролів та API-ключів. Дослідники застерігають: якщо розробники користувалися цими розширеннями, безпека їхнього коду та робочого середовища могла бути скомпрометована.
Нагадаємо, що компанія OpenAI зробила важливий крок у напрямку лідерства на ринку штучного інтелекту, представивши новий інструмент — ChatGPT Translate.
