Κακόβουλο Λογισμικό Κρυμμένο σε Πακέτα Python Επηρεάζει Προγραμματιστές σε Παγκόσμιο Επίπεδο

Δύο επιβλαβή πακέτα Python στο PyPI προσομοίωσαν εργαλεία AI αλλά κρυφά εγκατέστησαν το μολυσματικό λογισμικό JarkaStealer, κλέβοντας ευαίσθητα δεδομένα από πάνω από 1.700 χρήστες.

Οι ειδικοί στην κυβερνοασφάλεια της Kaspersky ανακάλυψαν δύο κακόβουλα πακέτα Python στον Python Package Index (PyPI), ένα ευρέως χρησιμοποιούμενο αποθετήριο λογισμικού, όπως ανακοινώθηκε την Πέμπτη.

Αυτά τα πακέτα υποστήριζαν ότι βοηθούν τους προγραμματιστές να αλληλεπιδρούν με προηγμένα μοντέλα γλώσσας, όπως το GPT-4 Turbo και το Claude AI, αλλά στην πραγματικότητα είχαν σχεδιαστεί για να εγκαθιστούν κακόβουλο λογισμικό που ονομάζεται JarkaStealer.

Τα πακέτα, με την ονομασία «gptplus» και «claudeai-eng», φαίνονταν νόμιμα, με περιγραφές και παραδείγματα που δείχναν πώς θα μπορούσαν να χρησιμοποιηθούν για τη δημιουργία συνομιλιών ενισχυμένων από την τεχνητή νοημοσύνη.

Στην πραγματικότητα, προσποίηθηκαν ότι εργαζόντουσαν χρησιμοποιώντας μία δοκιμαστική έκδοση του ChatGPT. Ο πραγματικός τους σκοπός ήταν να παραδώσουν κακόβουλο λογισμικό. Κρυμμένος στον κώδικα υπήρχε ένας μηχανισμός που κατέβαζε και εγκαθίστανε τον JarkaStealer, θέτοντας σε κίνδυνο το σύστημα του χρήστη.

Εάν το Java δεν ήταν ήδη εγκατεστημένο, τα πακέτα θα προσπαθούσαν ακόμα και να το λάβουν και να το εγκαταστήσουν από το Dropbox για να εξασφαλίσουν ότι το κακόβουλο λογισμικό θα μπορούσε να λειτουργήσει.

Αυτά τα κακόβουλα πακέτα ήταν διαθέσιμα για περισσότερο από ένα χρόνο, κατά τη διάρκεια του οποίου κατεβάστηκαν πάνω από 1.700 φορές από χρήστες σε περισσότερες από 30 χώρες.

Το κακόβουλο λογισμικό στόχευε σε εμπιστευτικά δεδομένα όπως πληροφορίες από τον περιηγητή, στιγμιότυπα οθόνης, λεπτομέρειες του συστήματος, ακόμα και διακριτικά σύνδεσης για εφαρμογές όπως το Telegram, το Discord και το Steam. Τα κλαπείσα δεδομένα στέλνονταν στους επιτιθέμενους και στη συνέχεια διαγράφονταν από τον υπολογιστή του θύματος.

Το JarkaStealer είναι ένα επικίνδυνο εργαλείο που χρησιμοποιείται συχνά για τη συλλογή ευαίσθητων πληροφοριών. Βρέθηκε επίσης ο πηγαίος κώδικας στο GitHub, υποδηλώνοντας ότι οι άνθρωποι που το διανέμουν στο PyPI ενδέχεται να μην ήταν οι αρχικοί του δημιουργοί.

Οι διαχειριστές του PyPI έχουν πλέον αφαιρέσει αυτά τα κακόβουλα πακέτα, αλλά παρόμοιες απειλές θα μπορούσαν να εμφανιστούν αλλού.

Οι προγραμματιστές που εγκατέστησαν αυτά τα πακέτα θα πρέπει να τα διαγράψουν άμεσα και να αλλάξουν όλους τους κωδικούς πρόσβασης και τους διακριτικούς συνεδρίας που χρησιμοποιούνται στις επηρεαζόμενες συσκευές. Αν και το κακόβουλο λογισμικό δεν επιμένει αυτοδύναμα, θα μπορούσε ήδη να έχει κλέψει κρίσιμες πληροφορίες.

Για να παραμείνουν ασφαλείς, οι προγραμματιστές ενθαρρύνονται να εξετάζουν προσεκτικά το λογισμικό ανοιχτού κώδικα πριν από τη χρήση, συμπεριλαμβανομένου του ελέγχου του προφίλ του εκδότη και των λεπτομερειών του πακέτου.

Για επιπλέον ασφάλεια, μπορούν να συμπεριληφθούν στις διαδικασίες ανάπτυξης εργαλεία που εντοπίζουν απειλές σε ανοιχτού κώδικα συστατικά, ώστε να βοηθήσουν στην πρόληψη τέτοιων επιθέσεων.