Skadelig programvare skjult i Python-pakker påvirker utviklere over hele verden

To ondsinnede Python-pakker på PyPI etterlignet AI-verktøy, men installerte i hemmelighet JarkaStealer-skadevare, og stjal sensitiv data fra over 1700 brukere.

Kasperskys kybersekuritetseksperter har oppdaget to skadelige Python-pakker på Python Package Index (PyPI), et mye brukt programvarearkiv, som annonsert på torsdag.

Disse pakkene hevdet å hjelpe utviklere med å samhandle med avanserte språkmodeller som GPT-4 Turbo og Claude AI, men var faktisk designet for å installere skadelig programvare kalt JarkaStealer.

Pakkene, som er kalt «gptplus» og «claudeai-eng,» fremsto som legitime, med beskrivelser og eksempler som viste hvordan de kunne brukes til å lage AI-drevne chatter.

I virkeligheten, later de bare som om de jobbet ved å bruke en demoversjon av ChatGPT. Deres egentlige formål var å levere skadelig programvare. Skjult i koden var en mekanisme som lastet ned og installerte JarkaStealer, noe som kompromitterte brukerens system.

Hvis Java ikke allerede var installert, ville pakkene til og med hente og installere det fra Dropbox for å sikre at den skadelige programvaren kunne kjøre.

Disse ondsinnede pakkene var tilgjengelige i over et år, og i løpet av den tiden ble de lastet ned over 1.700 ganger av brukere i mer enn 30 land.

Skadevaren rettet seg mot konfidensiell informasjon som nettleserinformasjon, skjermbilder, systemdetaljer og til og med økt-tokens for applikasjoner som Telegram, Discord og Steam. Denne stjålne dataen ble sendt til angriperne og deretter slettet fra offerets datamaskin.

JarkaStealer er et farlig verktøy som ofte brukes til å samle inn sensitiv informasjon. Kildekoden ble også funnet på GitHub, noe som antyder at de som distribuerte den på PyPI, kanskje ikke var de opprinnelige forfatterne.

PyPI-administratorer har siden fjernet disse skadelige pakkene, men lignende trusler kan dukke opp andre steder.

Utviklere som har installert disse pakkene bør slette dem umiddelbart og endre alle passord og økt-tokens som er brukt på berørte enheter. Selv om skadevaren ikke vedvarer av seg selv, kan den allerede ha stjålet kritisk informasjon.

For å være trygg, oppfordres utviklere til å nøye inspisere åpen kildekode-programvare før bruk, inkludert å sjekke utgiverens profil og pakkedetaljer.

For økt sikkerhet kan verktøy som oppdager trusler i åpen kildekodekomponenter inkluderes i utviklingsprosesser for å bidra til å forhindre slike angrep.