Скачал расширение — стал случайным сообщником хакера. Такова реальность для Disney

25-летний хакер Райан Митчелл Крамер (NullBulge) признал себя виновным во взломе корпорации Disney. Как сообщает Министерство юстиции США, он признает вину по двум уголовным статьям, связанным с несанкционированным доступом к компьютеру и угрозами нанести ущерб защищённой системе.

Крамер стал известен после того, как внедрил троян в популярное расширение для интерфейса ComfyUI — графической оболочки для генератора изображений Stable Diffusion, размещённой на GitHub. Вредоносный код позволял получить доступ к компьютерам пользователей, в том числе одного из сотрудников Disney.

Получив доступ к корпоративному Slack через взломанный компьютер, Крамер выгрузил 1,1 терабайта данных . В июле 2024 года он связался с сотрудником через Slack под своим псевдонимом и пригрозил опубликовать конфиденциальную информацию, если не получит ответа. После того как сотрудник проигнорировал сообщение, Крамер выполнил угрозу и выложил данные в открытый доступ.

На GitHub NullBulge заявил, что его атака была идеологическим протестом против ИИ-искусства: «ИИ-сгенерированное искусство наносит ущерб творческой индустрии и должно быть остановлено. Может, вы задумаетесь, прежде чем выкладывать ИИ-инструменты с такими слабо защищёнными аккаунтами».

Вредоносное расширение крало криптокошельки, заражало системы пользователей вредоносным ПО и похищало личные данные. Кроме того, NullBulge ранее занимался хакерской деятельностью с целью получения прибыли.

Предъявленные обвинения касаются исключительно взлома Disney. Крамер признал вину по двум пунктам: «несанкционированный доступ к компьютеру с получением информации» и «угроза нанести ущерб защищённому компьютеру». Каждое из преступлений предусматривает до 5 лет тюремного заключения.

Минюст отмечает, что круг жертв может быть шире. В соглашении о признании вины Крамер признал, что как минимум ещё 2 человека загрузили вредоносный файл и стали жертвами взлома. Расследование дела продолжается.