Вредоносное ПО, Скрытое в Пакетах Python, Затрагивает Разработчиков по Всему Миру

Два вредоносных пакета Python на PyPI имитировали инструменты AI, но тайно устанавливали вредоносное ПО JarkaStealer, похищая конфиденциальные данные более чем у 1700 пользователей.

Эксперты по кибербезопасности из Kaspersky обнаружили два вредоносных пакета Python на Python Package Index (PyPI) — широко используемом репозитории программного обеспечения, как было объявлено в четверг.

Эти пакеты утверждали, что помогают разработчикам взаимодействовать с передовыми языковыми моделями, такими как GPT-4 Turbo и Claude AI, но на самом деле они были разработаны для установки вредоносного программного обеспечения под названием JarkaStealer.

Пакеты, названные «gptplus» и «claudeai-eng», выглядели законными, с описаниями и примерами, показывающими, как их можно использовать для создания чатов на основе ИИ.

На самом деле, они просто притворялись, что работают, используя демо-версию ChatGPT. Их настоящая цель была в том, чтобы передать вредоносное ПО. В коде был спрятан механизм, который загружал и устанавливал JarkaStealer, нарушая безопасность системы пользователя.

Если Java не была установлена заранее, пакеты даже загружали и устанавливали ее из Dropbox, чтобы обеспечить работу вредоносного программного обеспечения.

Эти вредоносные пакеты были доступны более года, за который они были скачаны более 1,700 раз пользователями из более чем 30 стран.

Вредоносное ПО нацеливалось на конфиденциальные данные, такие как информация браузера, скриншоты, сведения о системе, и даже сессионные токены для таких приложений как Telegram, Discord и Steam. Эти украденные данные отправлялись злоумышленникам, а затем стирались с компьютера жертвы.

JarkaStealer — это опасный инструмент, часто используемый для сбора конфиденциальной информации. Исходный код также был найден на GitHub, что предполагает, что люди, распространяющие его на PyPI, могли не быть его первоначальными авторами.

Администраторы PyPI с тех пор удалили эти вредоносные пакеты, но подобные угрозы могут появиться в других местах.

Разработчикам, которые установили эти пакеты, следует немедленно удалить их и изменить все пароли и сессионные токены, используемые на затронутых устройствах. Хотя вредоносное программное обеспечение само по себе не сохраняется, оно могло уже украсть критически важную информацию.

Чтобы оставаться в безопасности, разработчикам рекомендуется тщательно изучать открытое программное обеспечение перед использованием, включая проверку профиля издателя и деталей пакета.

Для усиления безопасности в процесс разработки можно включить инструменты, обнаруживающие угрозы в компонентах с открытым исходным кодом, что поможет предотвратить подобные атаки.