Jak cyberprzestępcy zamieniają popularne narzędzia AI w pułapki – alarmujący raport Microsoftu

2. Atak Adversary-in-the-Middle (AiTM) z użyciem marki Claude (20-22 kwietnia 2026)

Wyrafinowana kampania, która miała na celu obejście uwierzytelniania wieloskładnikowego (MFA) poprzez kradzież tokenów sesji .

• Skala i ofiary: Celem ataku padło ponad 2000 organizacji. Aż 62% z nich znajdowało się w Stanach Zjednoczonych, 18% w Wielkiej Brytanii, a 9% w Indiach. Firmy z branży usług finansowych stanowiły 8% wszystkich celów .
• Technika: Ofiary otrzymywały wiadomość o rzekomym naruszeniu regulaminu usługi. W załączniku znajdował się plik PDF o nazwie „Fill and Sign Claude Appeal Form.pdf” (SHA-256: 791efb...d40e) . Po otwarciu pliku i przejściu przez fałszywą weryfikację Cloudflare, użytkownik trafiał na podstawioną stronę logowania Microsoft, która przechwytywała token sesji. To klasyczna technika AiTM, która skutecznie omija MFA .

3. Fałszywe repozytorium GitHub DeepSeek V4 i Infostealer (24 kwietnia 2026)

Ta kampania pokazała, z jak zawrotną prędkością przestępcy potrafią wykorzystać szum wokół nowinek AI, by celować w odbiorców technicznych .

• Szybkość i skala: W ciągu zaledwie 45 minut od zaprezentowania przez DeepSeek zapowiedzi modelu V4, atakujący utworzyli fałszywą organizację na GitHubie o nazwie „DeepSeek-V4”. Wyglądała ona autentycznie – zawierała skradzione grafiki, prawdziwe dane porównawcze i była zoptymalizowana pod wyszukiwarki . W ciągu czterech dni repozytorium zdobyło 91 gwiazdek i zajęło pierwsze miejsce w wynikach Bing dla fraz takich jak „DeepSeek v4 weights github” .
• Ładunek złośliwy: Archiwa hostowane w repozytorium zawierały loader, który instalował narzędzie Vidar Infostealer, służące do kradzieży danych logowania, ciasteczek przeglądarki i portfeli kryptowalutowych . Co więcej, Microsoft odkrył, że ten sam loader został ponownie użyty w plikach podszywających się pod inne modne narzędzia AI, takie jak GPT-5.5, Claude Code czy Manus AI, co ukazuje strategię „wymiennych przynęt” .

4. Kampania Malvertisingowa Storm-3075 z Fałszywym Podpisywaniem Kodu (marzec–maj 2026)

Za tą akcją, przypisaną brokerowi początkowego dostępu o nazwie Storm-3075, stały złośliwe reklamy rozprowadzające cyfrowo podpisane malware na masową skalę .

• Skala i cel: Tylko 13 marca 2026 roku pojedyncza kampania wymierzona była w ponad 66 000 urządzeń. Złośliwe wyskakujące okienka na stronach z darmowymi filmami reklamowały fałszywe produkty, takie jak „Awesome AI Windows Plugin” i „Flux Pro AI” .
• Technika: Złośliwe oprogramowanie było dystrybuowane z ważnym podpisem cyfrowym, uzyskanym w wyniku oszustwa od serwisu Fox Tempest – działającego jako „usługa podpisywania malware’u”. Dzięki temu plik wykonywalny wydawał się legalny dla systemu operacyjnego, z łatwością omijając standardowe mechanizmy kontroli zaufania . 19 maja 2026 roku Microsoft ujawnił pozew sądowy przeciwko Fox Tempest w Sądzie Okręgowym USA dla Południowego Dystryktu Nowego Jorku, przejmując jego witrynę i wyłączając setki wirtualnych maszyn, na których działał ten proceder .

Szerszy Ekosystem Oszustw AI

Te cztery kampanie nie są odosobnionymi incydentami. Stanowią one część większego, adaptacyjnego ekosystemu oszustw opartych na AI, który wykorzystuje cały zestaw wyrafinowanych i wielokrotnie używanych technik:

• Wieloetapowe łańcuchy przekierowań: Przestępcy regularnie przekierowują ofiary przez legalne usługi, takie jak platformy CRM, skracacze linków i usługi chmurowe, by uniknąć automatycznego wykrycia, zanim dostarczony zostanie ostateczny, złośliwy ładunek .
• Zatruwanie SEO i fałszywe repozytoria: Kampania z DeepSeek unaoczniła niebezpieczną ewolucję ataków na łańcuch dostaw oprogramowania. Fałszywe strony i repozytoria GitHub są optymalizowane pod wyszukiwarki, by przewyższać w wynikach legalne źródła. To bezpośrednie celowanie w deweloperów i badaczy szukających wag modeli i kodu .
• „Usługi” podpisywania malware’u: Pozew przeciwko Fox Tempest obnaża istnienie profesjonalnej infrastruktury przestępczej, która dostarcza fałszywie uzyskane certyfikaty podpisywania kodu wielu grupom. Pozwala to niepodpisanemu malware’owi zyskać zaufanie na poziomie systemu operacyjnego .
• Wymienne przynęty: Ponowne wykorzystanie tego samego loadera pod nazwami różnych modeli AI – takich jak GPT-5.5, Claude Code, Kimi czy Manus AI – dowodzi, że atakujący mogą błyskawicznie dostosowywać swoje kampanie do narzędzia, które w danym momencie wzbudza największe zainteresowanie .

Dlaczego Ten Przełom Jest Niepokojący?

Według Microsoftu, przynęty związane z AI „odzwierciedlają zmianę w socjotechnice, która prawdopodobnie utrzyma się jako długoterminowa taktyka stosowana przez cyberprzestępców – od grup kryminalnych po aktorów państwowych” . Nie oznacza to końca tradycyjnych przynęt, takich jak fałszywe faktury czy powiadomienia o dostawie. Tworzy się raczej nowy, potężny wektor ataku, zbudowany na ogromnym zaufaniu i ciekawości, jaką wzbudzają platformy AI. Jest to ryzyko, na które wiele programów szkoleniowych z zakresu cyberbezpieczeństwa w firmach nie jest jeszcze gotowych . Szczególnie niepokojące jest celowanie w deweloperów za pośrednictwem kampanii DeepSeek – wskazuje to na ryzyko dla łańcucha dostaw, które znajduje się na wczesnym etapie powstawania niezliczonych aplikacji i narzędzi wewnętrznych budowanych w oparciu o te modele .