Стоковые изображения от Depositphotos
Кого затронула атака. Вредоносные пакеты были доступны на репозитории PyPI, которым пользуются разработчики на языке программирования Python, с ноября 2023 года. Прежде чем их обнаружили, они были загружены 1,7 тысяч раз пользователями из 30 стран.
Как выявили угрозу. Эксперты Kaspersky GReAT обнаружили вредоносные пакеты с помощью внутренней автоматизированной системы для мониторинга репозиториев с открытым исходным кодом. Эти пакеты маскировались под Python-оболочки для двух популярных чат-ботов на основе нейросетей: ChatGPT от OpenAI и Claude AI от Anthropic. Они действительно предоставляли доступ к функциональности чат-бота, но одновременно устанавливали на устройства пользователей стилер Jarka.
Что может делать зловред. Стилер Jarka, написанный на языке Java, позволяет красть данные из различных браузеров, делать скриншоты, собирать системную информацию, а также перехватывать токены сеансов из таких приложений, как Telegram, Discord, Steam, и чит-клиента Minecraft. В коде зловреда также содержится функциональность для завершения процессов в браузерах, таких как Chrome and Edge, что позволяет получать доступ к сохранённым данным и их похищать. Прежде чем её удаляли с заражённого устройства, собранная информация отправлялась на сервер злоумышленников в виде архива.
Эксперты Kaspersky GReAT обнаружили, что разработчик вредоносного ПО продаёт и распространяет его через Telegram-канал и с помощью бота по модели «вредоносное ПО как услуга» (Malware-as-a-Service, MaaS). Также выяснилось, что исходный код Jarka был загружен на GitHub, что позволяет скачать его любому пользователю.
Судя по языковым артефактам, обнаруженным в коде вредоносного ПО и рекламе в Telegram, можно со средней или высокой степенью уверенности сказать, что зловред создал русскоязычный злоумышленник.
«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок. При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов. Это особенно важно при интеграции новых популярных технологий, таких как нейросети», — комментирует Леонид Безвершенко, эксперт по кибербезопасности Kaspersky GReAT.
«Лаборатория Касперского» сообщила о вредоносных пакетах PyPI, после чего их удалили. Компания продолжает отслеживать активность, связанную с Jarka и другими подозрительными загрузками на платформы с открытым исходным кодом, включая PyPI, чтобы обеспечивать безопасность цепочки поставок ПО.
По информации Лаборатории Касперского.
По сообщению сайта EKaraganda.kz