Малуер, скрит в пакети на Python, засяга разработчици по целия свят

Два злонамерени Python пакета на PyPI имитираха инструменти за изкуствен интелект, но тайно инсталираха малуера JarkaStealer, крадейки чувствителни данни от над 1,700 потребители.

Експертите по киберсигурност на Kaspersky са открили два злонамерени Python пакета в Python Package Index (PyPI), широко използвано хранилище за софтуер, както беше обявено в четвъртък.

Тези пакети твърдяха, че помагат на разработчиците да взаимодействат с напреднали езикови модели като GPT-4 Turbo и Claude AI, но всъщност бяха създадени с цел инсталиране на зловреден софтуер наречен JarkaStealer.

Пакетите, наречени „gptplus“ и „claudeai-eng“, изглеждаха законни, с описания и примери, показващи как могат да бъдат използвани за създаване на чатове, задвижвани от изкуствен интелект.

В действителност, те просто преструваха да работят, използвайки демо версията на ChatGPT. Истинската им цел беше да доставят зловреден софтуер. Скрит в кода беше механизъм, който сваляше и инсталираше JarkaStealer, застрашавайки системата на потребителя.

Ако Java все още не беше инсталирана, пакетите дори биха я изтеглили и инсталирали от Dropbox, за да гарантират, че зловредният софтуер може да работи.

Тези злонамерени пакети бяха налични повече от година, през която бяха изтеглени над 1,700 пъти от потребители в повече от 30 страни.

Малуерът насочваше атаките си към конфиденциални данни като информация от браузъра, скрийншоти, системни детайли, и дори сесийни жетони за приложения като Telegram, Discord и Steam. Тези откраднати данни бяха изпращани до нападателите, а след това бяха изтривани от компютъра на жертвата.

JarkaStealer е опасен инструмент, често използван за събиране на чувствителна информация. Изходният код беше открит и в GitHub, което предполага, че хората, разпространяващи го в PyPI, може би не са били неговите оригинални автори.

Администраторите на PyPI вече са премахнали тези злонамерени пакети, но подобни заплахи могат да се появят и другаде.

Разработчиците, които са инсталирали тези пакети, трябва да ги изтрият незабавно и да сменят всички пароли и сесийни токени, използвани на засегнатите устройства. Въпреки че зловредният софтуер не се запазва сам по себе си, вече може да е откраднал критична информация.

За да са в безопасност, се насърчава разработчиците внимателно да преглеждат софтуера с отворен код преди използване, включително проверка на профила на издателя и детайлите на пакета.

За допълнителна сигурност, инструменти, които откриват заплахи в отворените изходни кодове, могат да бъдат включени в процесите на разработка, за да помогнат в предотвратяването на подобни атаки.