Ukryte w pakietach Python Malware wpływa na programistów na całym świecie

Dwa szkodliwe pakiety Python na PyPI naśladowały narzędzia AI, ale w tajemnicy instalowały złośliwe oprogramowanie JarkaStealer, kradnąc wrażliwe dane ponad 1700 użytkownikom.

Eksperci od cyberbezpieczeństwa z Kaspersky odkryli dwa szkodliwe pakiety Python na Python Package Index (PyPI), powszechnie używanym repozytorium oprogramowania, jak ogłoszono w czwartek.

Te pakiety twierdziły, że pomagają deweloperom w interakcji z zaawansowanymi modelami języka, takimi jak GPT-4 Turbo i Claude AI, ale w rzeczywistości zostały zaprojektowane do instalowania złośliwego oprogramowania o nazwie JarkaStealer.

Pakiety o nazwach „gptplus” i „claudeai-eng” wyglądały na prawdziwe, z opisami i przykładami pokazującymi, jak mogą być używane do tworzenia rozmów sterowanych przez AI.

W rzeczywistości, tylko udawali, że pracują, korzystając z wersji demonstracyjnej ChatGPT. Ich rzeczywistym celem było dostarczenie złośliwego oprogramowania. Ukryty w kodzie znajdował się mechanizm, który pobierał i instalował JarkaStealer, narażając system użytkownika na niebezpieczeństwo.

Jeżeli Java nie była jeszcze zainstalowana, pakiety nawet pobierały i instalowały ją z Dropboxa, aby zapewnić możliwość uruchomienia złośliwego oprogramowania.

Te złośliwe pakiety były dostępne przez ponad rok, podczas którego zostały pobrane ponad 1700 razy przez użytkowników z ponad 30 krajów.

Malware miał na celu poufne dane, takie jak informacje o przeglądarce, zrzuty ekranu, szczegóły systemu, a nawet tokeny sesji dla aplikacji takich jak Telegram, Discord i Steam. Ta skradzione dane były wysyłane do atakujących, a następnie usuwane z komputera ofiary.

JarkaStealer to niebezpieczne narzędzie często używane do zbierania wrażliwych informacji. Kod źródłowy został również znaleziony na GitHubie, co sugeruje, że osoby dystrybuujące go na PyPI mogły nie być jego oryginalnymi autorami.

Administratorzy PyPI usunęli od tamtego czasu te szkodliwe pakiety, ale podobne zagrożenia mogą pojawić się gdzie indziej.

Deweloperzy, którzy zainstalowali te pakiety, powinni natychmiast je usunąć i zmienić wszystkie hasła oraz tokeny sesji używane na dotkniętych urządzeniach. Chociaż złośliwe oprogramowanie samo w sobie nie utrzymuje się, mogło już ukraść kluczowe informacje.

Aby zachować bezpieczeństwo, deweloperom zaleca się, aby starannie sprawdzali oprogramowanie open-source przed jego użyciem, w tym sprawdzanie profilu wydawcy i szczegółów pakietu.

Dla zwiększenia bezpieczeństwa, narzędzia wykrywające zagrożenia w komponentach open-source mogą być włączone do procesów twórczych, aby pomóc zapobiegać takim atakom.