Haittaohjelmat Piilotettu Python-Paketteihin Vaikuttavat Kehittäjiin Ympäri Maailman

Kaksi haitallista Python-pakettia PyPI:ssä jäljittelevät tekoälytyökaluja, mutta asentavat salaa JarkaStealer-haittaohjelman, joka varastaa arkaluontoisia tietoja yli 1,700 käyttäjältä.

Kasperskyn kyberturvallisuusasiantuntijat ovat löytäneet kaksi haitallista Python-pakettia Python Package Indexistä (PyPI), jota käytetään laajalti ohjelmistorepositoriona, kuten ilmoitettiin torstaina.

Nämä paketit väittivät auttavan kehittäjiä vuorovaikutuksessa edistyneiden kielenmallien, kuten GPT-4 Turbon ja Claude AI:n kanssa, mutta ne oli itse asiassa suunniteltu asentamaan haittaohjelma nimeltä JarkaStealer.

Paketeilla, jotka oli nimetty ”gptplus” ja ”claudeai-eng”, näytti olevan laillinen ulkonäkö, ja niiden kuvaukset ja esimerkit näyttivät, miten niitä voitaisiin käyttää luomaan tekoälyllä toimivia chat-keskusteluja.

Todellisuudessa he vain esittivät työskentelevänsä käyttämällä ChatGPT:n demoversiota. Heidän todellinen tarkoituksensa oli toimittaa haittaohjelmia. Koodiin piilotettu mekanismi latautui ja asensi JarkaStealerin, vaarantaen käyttäjän järjestelmän.

Jos Javaa ei ollut jo asennettu, paketit jopa hakisivat ja asentaisivat sen Dropboxista varmistaakseen, että haittaohjelma voisi toimia.

Nämä haitalliset paketit olivat saatavilla yli vuoden ajan, jonka aikana ne ladattiin yli 1 700 kertaa käyttäjien toimesta yli 30 maassa.

Haittaohjelma kohdistui luottamuksellisiin tietoihin, kuten selaininformaatioon, näyttökuvakaappauksiin, järjestelmätietoihin ja jopa sovellusten, kuten Telegramin, Discordin ja Steamin, istuntotokeneihin. Tämä varastettu data lähetettiin hyökkääjille ja sitten poistettiin uhrien tietokoneista.

JarkaStealer on vaarallinen työkalu, jota käytetään usein arkaluonteisen tiedon keräämiseen. Lähdekoodi löytyi myös GitHubista, mikä viittaa siihen, että ne ihmiset, jotka levittivät sitä PyPI:ssa, eivät ehkä olleet sen alkuperäisiä tekijöitä.

PyPI:n ylläpitäjät ovat sittemmin poistaneet nämä haitalliset paketit, mutta vastaavia uhkia saattaa ilmetä muualla.

Kehittäjien, jotka asensivat nämä paketit, tulisi poistaa ne välittömästi ja vaihtaa kaikki salasanat ja istuntotunnukset käytetyissä laitteissa. Vaikka haittaohjelma ei pysy omillaan, se on saattanut jo varastaa kriittistä tietoa.

Turvallisuuden varmistamiseksi kehittäjiä kannustetaan tarkkaan tarkistamaan avoimen lähdekoodin ohjelmisto ennen sen käyttöä, mukaan lukien julkaisijan profiilin ja pakettitietojen tarkistaminen.

Lisäturvallisuuden vuoksi, uhkien havaitsemiseen tarkoitettuja työkaluja voidaan sisällyttää kehitysprosesseihin estämään tällaisia hyökkäyksiä avoimen lähdekoodin komponenteissa.