A világszerte működő fejlesztőket érintő Malware, mely Python csomagokban rejtőzik

Két rosszindulatú Python csomag a PyPI-n AI eszközöket utánozott, de titokban a JarkaStealer károkozót telepítette, és érzékeny adatokat lopott el több mint 1700 felhasználótól.

A Kaspersky kiberbiztonsági szakértői két káros Python csomagot fedeztek fel a Python Package Index (PyPI) néven ismert, széles körben használt szoftvertárházban, ahogyan azt csütörtökön bejelentették.

Ezek a csomagok azt ígérték, hogy segítenek a fejlesztőknek a GPT-4 Turbo és a Claude AI, mint fejlett nyelvi modellekkel való interakcióban, de valójában úgy tervezték őket, hogy telepítsenek egy JarkaStealer nevű kártékony programot.

A “gptplus” és a “claudeai-eng” nevű csomagok hitelesnek tűntek, leírásokkal és példákkal, melyek bemutatták, hogyan lehet őket használni AI-alapú csetek létrehozására.

Valójában csak úgy tették, mintha dolgoznának, egy ChatGPT demó verzió segítségével. Valódi céljuk az volt, hogy kártékony szoftvert juttassanak el hozzád. A kód rejtett részében egy olyan mechanizmus volt, amely letöltötte és telepítette a JarkaStealert, veszélyeztetve a felhasználó rendszerét.

Ha a Java még nem volt telepítve, a csomagok még azt is letöltötték és telepítették a Dropboxból, hogy biztosítsák a kártékony szoftver működését.

Ezek a rosszindulatú csomagok több mint egy évig voltak elérhetőek, amely idő alatt több mint 30 ország felhasználói több mint 1700 alkalommal töltötték le őket.

A kártevő a bizalmas adatokat, mint például a böngészőinformációkat, képernyőképeket, rendszeradatokat és még olyan alkalmazásokhoz, mint a Telegram, a Discord és a Steam szükséges munkamenet-tokeneket is célba vette. Ezeket az ellopott adatokat küldték az támadóknak, majd törölték az áldozat számítógépéről.

A JarkaStealer egy veszélyes eszköz, amelyet gyakran érzékeny információk gyűjtésére használnak. A forráskódját a GitHubon is megtalálták, ami arra utal, hogy azok, akik a PyPI-n terjesztik, talán nem az eredeti szerzői.

A PyPI adminisztrátorai azóta eltávolították ezeket a kártékony csomagokat, de hasonló fenyegetések máshol is felbukkanhatnak.

A következő csomagokat telepítő fejlesztőknek azonnal törölniük kell őket, és meg kell változtatniuk az érintett eszközökön használt összes jelszót és munkamenet-tokeneket. Bár a kártékony szoftver önmagában nem marad meg, már ellopott lehet kritikus információkat.

A biztonság érdekében a fejlesztőket arra ösztönzik, hogy használat előtt alaposan vizsgálják meg az open-source szoftvereket, beleértve a kiadó profiljának és a csomag részleteinek ellenőrzését is.

A megnövelt biztonság érdekében, azokat az eszközöket, amelyek képesek észlelni a fenyegetéseket az open-source komponensekben, be lehet építeni a fejlesztési folyamatokba, hogy segítsenek megelőzni az ilyen támadásokat.