Malware Verborgen In Python Pakketten Treft Ontwikkelaars Wereldwijd

Twee kwaadaardige Python pakketten op PyPI deden zich voor als AI-tools maar installeerden in het geheim de JarkaStealer malware, waarmee gevoelige gegevens van meer dan 1.700 gebruikers werden gestolen.

De cybersecurity-experts van Kaspersky hebben twee kwaadaardige Python-pakketten ontdekt op de Python Package Index (PyPI), een veelgebruikte softwareopslagplaats, zoals aangekondigd op donderdag.

Deze pakketten beweerden ontwikkelaars te helpen interactie aan te gaan met geavanceerde taalmodellen zoals GPT-4 Turbo en Claude AI, maar waren in werkelijkheid ontworpen om malware genaamd JarkaStealer te installeren.

De pakketten, genaamd “gptplus” en “claudeai-eng”, leken legitiem, met beschrijvingen en voorbeelden die lieten zien hoe ze gebruikt konden worden om AI-aangedreven chats te creëren.

In werkelijkheid deden ze alleen alsof ze werkten door gebruik te maken van een demo-versie van ChatGPT. Hun werkelijke doel was het leveren van malware. Verborgen in de code zat een mechanisme dat JarkaStealer downloadde en installeerde, waardoor het systeem van de gebruiker werd gecompromitteerd.

Als Java nog niet was geïnstalleerd, zouden de pakketten het zelfs ophalen en installeren vanuit Dropbox om ervoor te zorgen dat de malware kon draaien.

Deze kwaadaardige pakketten waren meer dan een jaar beschikbaar, gedurende welke ze meer dan 1.700 keer werden gedownload door gebruikers in meer dan 30 landen.

De malware richtte zich op vertrouwelijke gegevens zoals browserinformatie, schermafbeeldingen, systeemdetails en zelfs sessietokens voor applicaties zoals Telegram, Discord en Steam. Deze gestolen gegevens werden naar de aanvallers gestuurd en vervolgens gewist van de computer van het slachtoffer.

JarkaStealer is een gevaarlijk hulpmiddel dat vaak wordt gebruikt om gevoelige informatie te verzamelen. De broncode is ook gevonden op GitHub, wat suggereert dat de mensen die het op PyPI verspreiden mogelijk niet de oorspronkelijke auteurs zijn geweest.

De beheerders van PyPI hebben sindsdien deze kwaadaardige pakketten verwijderd, maar soortgelijke bedreigingen kunnen elders verschijnen.

Ontwikkelaars die deze pakketten hebben geïnstalleerd, moeten ze onmiddellijk verwijderen en alle wachtwoorden en sessietokens wijzigen die op de getroffen apparaten zijn gebruikt. Hoewel de malware op zichzelf niet blijft bestaan, zou het al kritieke informatie kunnen hebben gestolen.

Om veilig te blijven, worden ontwikkelaars aangemoedigd om open-source software zorgvuldig te inspecteren voor gebruik, inclusief het controleren van het profiel van de uitgever en de details van het pakket.

Voor extra beveiliging kunnen tools die bedreigingen in open-source componenten detecteren worden opgenomen in ontwikkelingsprocessen om dergelijke aanvallen te helpen voorkomen.