Experti v oblasti kybernetické bezpečnosti objevili dva škodlivé balíčky nahrané do repositáře Python Package Index (PyPI), které imitovaly populární modely umělé inteligence (AI), jako jsou OpenAI ChatGPT a Anthropic Claude, za účelem šíření informačního malwaru nazvaného JarkaStealer.
Balíčky s názvy gptplus a claudeai-eng byly nahrány uživatelem s přezdívkou „Xeroline“ v listopadu 2023 a přilákaly 1 748 a 1 826 stažení. Obě knihovny již nejsou dostupné ke stažení z PyPI.
„Škodlivé balíčky byly nahrány do repositáře jedním autorem a ve skutečnosti se od sebe lišily pouze názvem a popisem,“ uvedla společnost Kaspersky ve svém příspěvku.
Balíčky údajně nabízely přístup k API GPT-4 Turbo a API Claude AI, ale obsahovaly škodlivý kód, který při instalaci spustil nasazení malwaru.
Konkrétně soubor „init.py“ v těchto balíčcích obsahoval data kódovaná v Base64, která zahrnovala kód pro stažení Java archivu („JavaUpdater.jar“) z GitHub repositáře („github[.]com/imystorage/storage“). Pokud Java nebyla na hostitelském zařízení již nainstalována, balíček také stáhl Java Runtime Environment (JRE) z URL na Dropboxu, než spustil JAR soubor.
JAR soubor je Java-based informační malware nazvaný JarkaStealer, který dokáže krást širokou škálu citlivých informací, včetně dat z webových prohlížečů, systémových dat, snímků obrazovky a tokenů relací z různých aplikací, jako jsou Telegram, Discord a Steam.
V závěrečné fázi jsou shromážděné informace archivovány, odeslány na server útočníka a poté smazány z počítače oběti. JarkaStealer byl nabízen jako součást modelu malware-as-a-service (MaaS) prostřednictvím Telegram kanálu za cenu mezi 20 a 50 dolary, přičemž jeho zdrojový kód byl uniklý na GitHubu.
Statistiky od ClickPy ukazují, že balíčky byly stahovány převážně uživateli z USA, Číny, Indie, Francie, Německa a Ruska v rámci roční kampaně zaměřené na útoky na dodavatelský řetězec.
„Tento objev zdůrazňuje přetrvávající rizika útoků na dodavatelský řetězec softwaru a poukazuje na kritickou potřebu ostražitosti při integraci open-source komponent do vývojových procesů,“ uvedl výzkumník společnosti Kaspersky, Leonid Bezvershenko.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
