Skradprogram Gömda I Python Paket Påverkar Utvecklare Världen Över

Två skadliga Python-paket på PyPI efterliknade AI-verktyg men installerade i hemlighet JarkaStealer skadlig programvara, och stal känslig data från över 1 700 användare.

Kasperskys cybersäkerhetsexperter har upptäckt två skadliga Python-paket på Python Package Index (PyPI), ett mycket använt mjukvaruförråd, som meddelades på torsdagen.

Dessa paket påstods hjälpa utvecklare att interagera med avancerade språkmodeller som GPT-4 Turbo och Claude AI men var faktiskt utformade för att installera skadlig programvara kallad JarkaStealer.

Paketen, som heter ”gptplus” och ”claudeai-eng”, verkade legitima, med beskrivningar och exempel som visade hur de kunde användas för att skapa AI-drivna chattar.

I verkligheten låtsades de bara arbeta genom att använda en demoversion av ChatGPT. Deras egentliga syfte var att leverera skadlig programvara. Gömd i koden fanns en mekanism som laddade ner och installerade JarkaStealer, vilket äventyrade användarens system.

Om Java inte redan var installerat, skulle paketen till och med hämta och installera det från Dropbox för att säkerställa att den skadliga programvaran kunde köra.

Dessa illvilliga paket var tillgängliga i mer än ett år, under vilket de laddades ner över 1 700 gånger av användare i mer än 30 länder.

Skadeprogrammet riktade in sig på konfidentiell data såsom webbläsarinformation, skärmdumpar, systemdetaljer och till och med sessions-token för applikationer som Telegram, Discord och Steam. Denna stulna data skickades till angriparna och raderades sedan från offrets dator.

JarkaStealer är ett farligt verktyg som ofta används för att samla in känslig information. Källkoden hittades även på GitHub, vilket antyder att de personer som distribuerar den på PyPI kanske inte var dess ursprungliga författare.

PyPI-administratörer har sedan dess tagit bort dessa skadliga paket, men liknande hot kan dyka upp någon annanstans.

Utvecklare som installerade dessa paket bör radera dem omedelbart och ändra alla lösenord och sessions-token som används på berörda enheter. Även om skadlig programvara inte består på egen hand, kan den redan ha stulit kritisk information.

För att vara säkra uppmanas utvecklare att noggrant granska öppen källkodsprogramvara innan användning, inklusive att kontrollera publicerarens profil och paketdetaljer.

För ökad säkerhet kan verktyg som upptäcker hot i öppen källkods-komponenter inkluderas i utvecklingsprocesser för att hjälpa till att förebygga sådana attacker.