Malware-ul Ascuns în Pachetele Python Afectează Dezvoltatorii la Nivel Mondial

Două pachete Python malițioase pe PyPI au imitat unelte AI, dar în secret au instalat malware-ul JarkaStealer, furând date sensibile de la peste 1.700 de utilizatori.

Experții în securitate cibernetică de la Kaspersky au descoperit două pachete Python dăunătoare pe Python Package Index (PyPI), un depozit de software larg utilizat, așa cum a fost anunțat joi.

Aceste pachete pretindeau că ajută dezvoltatorii să interacționeze cu modele de limbaj avansate, precum GPT-4 Turbo și Claude AI, dar au fost de fapt concepute pentru a instala un malware numit JarkaStealer.

Pachetele, denumite „gptplus” și „claudeai-eng”, păreau legitime, cu descrieri și exemple care arătau cum pot fi folosite pentru a crea discuții susținute de AI.

În realitate, ei doar pretindeau că lucrează folosind o versiune demo a ChatGPT. Scopul lor real era de a livra malware. Ascuns în cod se afla un mecanism care descărca și instala JarkaStealer, compromițând sistemul utilizatorului.

Dacă Java nu era deja instalată, pachetele ar fi mers chiar să o preia și să o instaleze de pe Dropbox pentru a se asigura că malware-ul poate funcționa.

Aceste pachete rău-intenționate au fost disponibile mai mult de un an, perioadă în care au fost descărcate de peste 1.700 de ori de către utilizatori din mai mult de 30 de țări.

Malware-ul a vizat date confidențiale precum informații despre browser, capturi de ecran, detalii despre sistem și chiar token-uri de sesiune pentru aplicații precum Telegram, Discord și Steam. Aceste date furate au fost trimise atacatorilor, pentru a fi apoi șterse de pe computerul victimei.

JarkaStealer este un instrument periculos folosit adesea pentru colectarea de informații sensibile. Codul sursă a fost de asemenea găsit pe GitHub, sugerând că persoanele care îl distribuie pe PyPI s-ar putea să nu fie autorii originali.

Administratorii PyPI au eliminat între timp aceste pachete rău intenționate, dar amenințări similare ar putea apărea în alte părți.

Dezvoltatorii care au instalat aceste pachete ar trebui să le șteargă imediat și să schimbe toate parolele și jetoanele de sesiune utilizate pe dispozitivele afectate. Deși malware-ul nu persistă de la sine, ar fi putut deja să fure informații critice.

Pentru a rămâne în siguranță, dezvoltatorilor li se recomandă să inspecteze cu atenție software-ul open-source înainte de a-l folosi, inclusiv verificarea profilului editorului și a detaliilor pachetului.

Pentru o securitate sporită, instrumentele care detectează amenințările în componentele open-source pot fi incluse în procesele de dezvoltare pentru a ajuta la prevenirea acestor atacuri.