
Investigadores de seguridad han revelado un nuevo método de ataque llamado HalluSquatting que aprovecha una de las debilidades más conocidas de los modelos de lenguaje grandes, su tendencia a alucinar, convirtiéndola en un vector automatizado para ensamblar botnets.
El ataque explota una propiedad fundamental de la IA generativa: cuando se le pregunta sobre una herramienta, biblioteca o paquete que el modelo no ha visto durante su entrenamiento, a menudo inventa un nombre y una documentación que suenan verosímiles en lugar de admitir ignorancia. Los atacantes crean indicaciones que empujan a los modelos hacia estas lagunas de conocimiento, luego registran los nombres de dominio y los repositorios de paquetes que la IA inventó. Cuando los desarrolladores o agentes de IA que actúan según las recomendaciones del modelo intentan instalar el paquete alucinado, descargan malware controlado por el atacante.
Cómo funciona
HalluSquatting no apunta a una sola herramienta de IA sino al patrón de comportamiento subyacente común a todos los modelos de lenguaje importantes. Un atacante le pide al modelo que “enumere tres bibliotecas populares de Python para escaneo de redes” o tareas similares. El modelo genera un nombre de biblioteca verosímil como “pyscanner-pro” junto con una URL de repositorio que parece legítima. El atacante registra ese dominio y publica un paquete malicioso allí.
El ataque se vuelve especialmente peligroso con la IA agentiva: asistentes de codificación que instalan dependencias de forma autónoma, ejecutan comandos y siguen instrucciones de la documentación. Un agente que lee un README de proyecto que sugiere la instalación mediante un paquete alucinado puede ejecutar el comando sin revisión humana, otorgando al atacante acceso remoto a la máquina del desarrollador.
Alcance y gravedad
Nueve de los LLM comerciales y de código abierto más utilizados son vulnerables a la técnica, según los investigadores que divulgaron el ataque el 8 de julio. El ataque no explota un error de software; explota el comportamiento aprendido de los modelos de ser útilmente generativos incluso cuando carecen de conocimiento.
El potencial de automatización es significativo. Un atacante puede generar miles de nombres de paquetes alucinados en minutos, registrar los dominios correspondientes y esperar a que las víctimas los instalen. La botnet es ensamblada por los propios usuarios, cada uno instalando voluntariamente código malicioso que la IA recomendó.
Las mitigaciones incluyen requerir aprobación humana para comandos de instalación de paquetes en herramientas agentivas, verificar la identidad del publicador antes de instalar dependencias y deshabilitar la ejecución autónoma de comandos en asistentes de codificación de IA.
Traducido por Alessandra
Fuentes: Celloraa (8 de julio); Tom’s Hardware (8 de julio)

