25 января 2026 года на VirusTotal появился файл с именем deepseek_python_20260125_da0631.py. Обычный Python-скрипт на базе Flask. Но исследователи из израильской компании Check Point Research, которые его изучили, были достаточно встревожены, чтобы опубликовать подробный разбор. Файл оказался полнофункциональным вредоносным инструментом, сгенерированным китайской ИИ-моделью DeepSeek по одному широкому запросу. Его автор назвал его InfernoGrabber v9.0. VirusTotal классифицировал как «полнофункциональный стилер и набор для вымогательства».
Атака замаскирована под веб-сервер с фейковым сервисом для улучшения аватаров в Discord. Пользователь заходит на страницу, думает что загружает картинку, и в какой-то момент браузер просит разрешение на доступ к файловой системе. Выглядит безобидно. На самом деле именно в этот момент всё и начинается: скрипт перечисляет файлы в выбранной папке, читает их, отправляет содержимое через жёстко прописанный вебхук Discord, затем шифрует и перезаписывает файлы. На экране появляется вымогательский экран «WinLocker» с требованием Bitcoin.
Самое необычное здесь не то, что ИИ написал вредоносный код. Это уже не новость. Необычно то, как именно InfernoGrabber реализует атаку. Он не эксплуатирует уязвимость в классическом смысле, не требует прав администратора и не устанавливает ничего в систему. Вместо этого он злоупотребляет легитимным браузерным API — File System Access API, который встроен в Chromium. Эта функция была создана для удобных веб-приложений, которым нужен доступ к локальным файлам с разрешения пользователя. Теперь она стала вектором атаки.
Отдельно упоминается CVE-2023-4863. Вредонос работает во всех Chromium-браузерах: подтверждена работоспособность на Windows, macOS, Linux, ChromeOS, Android и Microsoft Edge. iOS воспроизвести атаку не удалось. То есть под угрозой находится подавляющее большинство пользователей десктопных браузеров и Android.
Набор функций InfernoGrabber охватывает практически всё, что можно забрать у пользователя. Помимо шифрования файлов и требования выкупа, скрипт ворует токены Discord, данные банковских карт, сид-фразы от криптокошельков, пишет нажатия клавиш, снимает видео с веб-камеры и записывает микрофон. Всё это уходит через вебхук Discord. У атакующего есть отдельная панель администратора для управления украденными данными.
Check Point Research проанализировала около 3 000 файлов, которые они атрибутируют DeepSeek за последний год. Из них 1 383 образца были признаны вредоносными или потенциально опасными. Доказательств реального применения именно этой браузерной техники в дикой природе пока нет, но это, видимо, вопрос времени.
Принципиальный момент, который выделяют исследователи: атакующий мог вообще не знать о существовании File System Access API. Модель сама нашла этот путь, рассуждая о том, как реализовать задачу. По словам Эли Смадья, руководителя исследований Check Point Research: «Впервые у нас есть свидетельство того, что ИИ-модель способна самостоятельно рассуждать о легитимных функциях платформы и обнаруживать рабочую технику атаки, о которой люди только теоретизировали, — и это без того, чтобы атакующий вообще знал о существовании соответствующего API».
Разрыв между DeepSeek и западными моделями — Anthropic, Google, OpenAI — в данном контексте значителен. DeepSeek доступен бесплатно через веб-интерфейс, работает в большем числе регионов и, по наблюдениям Check Point Research, значительно реже отказывается выполнять потенциально вредоносные запросы. Для того чтобы получить рабочий вредоносный инструмент через конкурирующие платформы, как правило, требуется более изощрённый промпт и больше итераций. DeepSeek справился с одним широким запросом.
«DeepSeek-модели способны превращать высокоуровневые вредоносные идеи в конкретные, завершённые атаки, требуя при этом меньше экспертизы, чем конкурирующие платформы», — констатирует Check Point Research. Смадья формулирует жёстче: «Барьер для реализации сложных атак рушится, и это имеет глубокие последствия для каждой организации, встраивающей ИИ в свои рабочие процессы, и для каждого мобильного пользователя, который теперь носит всю свою личную и профессиональную жизнь в фотобиблиотеке».
Руководитель команды анализа вредоносного ПО Check Point Research Педро Дримел Нету и коллеги формулируют практические рекомендации так:
Атака замаскирована под веб-сервер с фейковым сервисом для улучшения аватаров в Discord. Пользователь заходит на страницу, думает что загружает картинку, и в какой-то момент браузер просит разрешение на доступ к файловой системе. Выглядит безобидно. На самом деле именно в этот момент всё и начинается: скрипт перечисляет файлы в выбранной папке, читает их, отправляет содержимое через жёстко прописанный вебхук Discord, затем шифрует и перезаписывает файлы. На экране появляется вымогательский экран «WinLocker» с требованием Bitcoin.
Самое необычное здесь не то, что ИИ написал вредоносный код. Это уже не новость. Необычно то, как именно InfernoGrabber реализует атаку. Он не эксплуатирует уязвимость в классическом смысле, не требует прав администратора и не устанавливает ничего в систему. Вместо этого он злоупотребляет легитимным браузерным API — File System Access API, который встроен в Chromium. Эта функция была создана для удобных веб-приложений, которым нужен доступ к локальным файлам с разрешения пользователя. Теперь она стала вектором атаки.
Отдельно упоминается CVE-2023-4863. Вредонос работает во всех Chromium-браузерах: подтверждена работоспособность на Windows, macOS, Linux, ChromeOS, Android и Microsoft Edge. iOS воспроизвести атаку не удалось. То есть под угрозой находится подавляющее большинство пользователей десктопных браузеров и Android.
Набор функций InfernoGrabber охватывает практически всё, что можно забрать у пользователя. Помимо шифрования файлов и требования выкупа, скрипт ворует токены Discord, данные банковских карт, сид-фразы от криптокошельков, пишет нажатия клавиш, снимает видео с веб-камеры и записывает микрофон. Всё это уходит через вебхук Discord. У атакующего есть отдельная панель администратора для управления украденными данными.
Check Point Research проанализировала около 3 000 файлов, которые они атрибутируют DeepSeek за последний год. Из них 1 383 образца были признаны вредоносными или потенциально опасными. Доказательств реального применения именно этой браузерной техники в дикой природе пока нет, но это, видимо, вопрос времени.
Принципиальный момент, который выделяют исследователи: атакующий мог вообще не знать о существовании File System Access API. Модель сама нашла этот путь, рассуждая о том, как реализовать задачу. По словам Эли Смадья, руководителя исследований Check Point Research: «Впервые у нас есть свидетельство того, что ИИ-модель способна самостоятельно рассуждать о легитимных функциях платформы и обнаруживать рабочую технику атаки, о которой люди только теоретизировали, — и это без того, чтобы атакующий вообще знал о существовании соответствующего API».
Разрыв между DeepSeek и западными моделями — Anthropic, Google, OpenAI — в данном контексте значителен. DeepSeek доступен бесплатно через веб-интерфейс, работает в большем числе регионов и, по наблюдениям Check Point Research, значительно реже отказывается выполнять потенциально вредоносные запросы. Для того чтобы получить рабочий вредоносный инструмент через конкурирующие платформы, как правило, требуется более изощрённый промпт и больше итераций. DeepSeek справился с одним широким запросом.
«DeepSeek-модели способны превращать высокоуровневые вредоносные идеи в конкретные, завершённые атаки, требуя при этом меньше экспертизы, чем конкурирующие платформы», — констатирует Check Point Research. Смадья формулирует жёстче: «Барьер для реализации сложных атак рушится, и это имеет глубокие последствия для каждой организации, встраивающей ИИ в свои рабочие процессы, и для каждого мобильного пользователя, который теперь носит всю свою личную и профессиональную жизнь в фотобиблиотеке».
Руководитель команды анализа вредоносного ПО Check Point Research Педро Дримел Нету и коллеги формулируют практические рекомендации так:
- []Укреплять защиту на уровне доставки, то есть на этапе фишинга и первоначального контакта
[]Не доверять разрешениям автоматически только потому, что их выдал сам пользователь
[]Относиться к каждому браузерному запросу на доступ к файловой системе как к решению в области безопасности
[]Готовиться к этому сейчас, до того как техника начнёт массово применяться в реальных атаках