Связанный с Китаем инструмент для тестирования на проникновение с помощью ИИ «Villager» вызывает опасения после 10 тыс. загрузок

Связанный с Китаем инструмент искусственного интеллекта Villager, опубликованный на PyPI, автоматизирует кибератаки и вызвал беспокойство экспертов после 10 000 загрузок всего за два месяца.

Новый инструмент для тестирования на проникновение Villager, выпущенный в Python Package Index ( PyPI ) бывшим китайским конкурентом CTF (Capture the Flag), теперь привлекает внимание исследователей безопасности. Хотя он позиционируется как инструмент для «красной команды» , эксперты предупреждают, что возможности автоматизации и открытая доступность могут позволить злоумышленникам использовать его во вредоносных целях.

По данным компании Straiker, специализирующейся на кибербезопасности и впервые обнаружившей этот инструмент, Villager был опубликован в качестве публичного пакета Python в конце июля 2025 года пользователем под ником stupidfish001 , связанным с китайской группой HSCSEC, а теперь и с компанией Cyberspike. За два месяца с момента выпуска Villager был скачан более 10 000 раз в Linux, macOS и Windows.

По словам исследователей из Straiker, эта схема очень похожа на ту, что произошла с Cobalt Strike — законным решением для «красных команд», которое было перепрофилировано киберпреступниками и государственными группировками.

Однако Villager идет еще дальше, добавляя в процесс генеративный ИИ , позволяющий злоумышленникам автоматизировать разведку, эксплуатацию уязвимостей и последующие задачи с помощью команд на естественном языке.

В подробном техническом исследовании Стрэйкера указано, что Cyberspike, группа, стоящая за Villager, по всей видимости, действует под названием Changchun Anshanyuan Technology Co., Ltd., зарегистрированной в Китае как компания по разработке искусственного интеллекта. Однако отсутствие официального веб-сайта и наличие функций удалённого администрирования, напоминающих известные семейства вредоносных программ, такие как AsyncRAT , вызывают вопросы об истинных намерениях компании.

Прошлые продукты Cyberspike также вызывают опасения. Анализ их более раннего инструмента «Cyberspike Studio» показал, что это был модифицированный пакет на основе AsyncRAT с такими возможностями, как удалённый доступ к рабочему столу, кейлоггерство, перехват веб-камеры и кража токенов Discord. Похоже, эти же компоненты теперь входят в состав бэкенда Villager, но с более понятным интерфейсом и поддержкой ИИ.

Исследователи также добавили, что Villager представляет собой модульную структуру, «управляемую ИИ», которая объединяет множество компонентов, включая контейнерные среды Kali Linux, автоматизацию браузера, выполнение кода и пользовательскую модель ИИ, получившую название al-1s-20250421 .

Он позволяет пользователям отправлять высокоуровневые задачи, такие как «сканировать и эксплуатировать example.com », с помощью простого текста, а ИИ разбивает этот запрос на ряд технических шагов, выполняя их автономно.

Ещё одной тревожной особенностью является встроенная функция уклонения от криминалистического анализа. Фреймворк автоматически создаёт временные контейнеры, каждый из которых настроен на самоуничтожение в течение 24 часов, оставляя минимум следов. Он также использует рандомизированные SSH-порты и планирование задач, чтобы избежать обнаружения и усложнить анализ.

В исследовании Стрейкера отмечается, что Villager использует модели DeepSeek и интеграцию с LangChain для поддержки принятия решений и генерации эксплойтов. Тестовый скрипт, входящий в пакет, подключается к собственной инфраструктуре Cyberspike, которая, по-видимому, размещает эти модели за конечной точкой API, совместимой с OpenAI.

Журналы показывают, что Villager активно загружается с постоянной частотой более 200 раз в три дня. Он разработан для работы в реальных рабочих процессах атак с использованием образов Docker , размещенных в частном репозитории Cyberspike GitLab, и клиентов MCP (Model Context Protocol), координирующих операции через конечные точки FastAPI.

Кейси Эллис , основатель Bugcrowd, отмечает, что использование ИИ злоумышленниками не является чем-то новым. Однако появление разработанного в Китае инструмента, такого как Villager, обострило эту проблему.

«Хакеры, как полезные, так и злонамеренные, используют ИИ для повышения своей эффективности с тех пор, как генеративный ИИ стал общедоступным», — сказал Эллис. «Важный вывод заключается в том, что нападение с помощью ИИ уже существует, существует уже довольно давно и будет существовать. Реальную проблему представляет доступность всё более мощных возможностей для гораздо более широкой аудитории».