Шкідливі програми, приховані в пакетах Python, впливають на розробників по всьому світу

Два шкідливих пакети Python на PyPI імітували інструменти AI, але таємно встановлювали шкідливе ПЗ JarkaStealer, викрадаючи конфіденційні дані від понад 1700 користувачів.

Експерти з кібербезпеки від Kaspersky виявили два шкідливі пакети Python на Python Package Index (PyPI), широко використовуваному репозиторії програмного забезпечення, як оголосили у четвер.

Ці пакети обіцяли допомогти розробникам взаємодіяти з передовими моделями мови, такими як GPT-4 Turbo та Claude AI, але насправді були розроблені для встановлення шкідливого програмного забезпечення, відомого як JarkaStealer.

Пакети, названі “gptplus” та “claudeai-eng”, виглядали законними, з описами та прикладами, які показували, як їх можна використовувати для створення чатів, підкріплених AI.

У реальності вони лише удавали, що працюють, використовуючи демо-версію ChatGPT. Їх справжньою метою було доставити шкідливе ПЗ. У коді був прихований механізм, який завантажував і встановлював JarkaStealer, компрометуючи систему користувача.

Якщо Java вже не була встановлена, пакети навіть забирали і встановлювали її з Dropbox, щоб гарантувати можливість запуску шкідливого ПЗ.

Ці шкідливі пакети були доступні протягом більше ніж року, під час якого вони були завантажені понад 1,700 разів користувачами з більше ніж 30 країн.

Шкідливе ПЗ було націлене на конфіденційні дані, такі як інформація браузера, скріншоти, деталі системи, а навіть маркери сесій для таких програм, як Telegram, Discord та Steam. Ці вкрадені дані були надіслані зловмисникам, а потім видалені з комп’ютера жертви.

JarkaStealer – це небезпечний інструмент, який часто використовується для збору конфіденційної інформації. Його вихідний код також був знайдений на GitHub, що натякає на те, що люди, які поширювали його на PyPI, можливо, не були його первісними авторами.

Адміністратори PyPI вже видалили ці шкідливі пакети, але подібні загрози можуть з’явитись в інших місцях.

Розробники, які встановили ці пакети, повинні негайно їх видалити та змінити всі паролі та сесійні токени, які використовувалися на постраждалих пристроях. Хоча шкідливе ПЗ само по собі не зберігається, воно могло вже вкрасти критичну інформацію.

Для безпеки розробники заохочуються уважно перевіряти відкрите програмне забезпечення перед використанням, включаючи перевірку профілю видавця та деталей пакета.

Для додаткової безпеки, інструменти, що виявляють загрози в компонентах відкритого коду, можуть бути включені в процеси розробки, щоб допомогти запобігти таким атакам.