Sicherheitsforscher von Kaspersky haben eine ausgeklügelte Malware-Kampagne aufgedeckt, die das populäre Python Package Index (PyPI) als Vertriebskanal missbraucht. Die Angreifer verbreiteten dabei den Java-basierten Infostealer „Jarka“ getarnt als Entwickler-Tools für ChatGPT und andere KI-Systeme. Die schadhaften Pakete wurden bereits über 1.700 Mal in 30 Ländern heruntergeladen.
Technische Analyse der Jarka-Malware
Die Malware nutzt einen mehrstufigen Infektionsprozess: Nach Installation eines kompromittierten Python-Pakets lädt ein eingebetteter Dropper automatisch die Datei „JavaUpdater.jar“ von GitHub herunter. Bemerkenswert ist die Fähigkeit der Malware, bei Bedarf eigenständig eine Java Runtime Environment (JRE) via Dropbox zu installieren, was ihre Funktionsfähigkeit auch auf Systemen ohne Java-Installation sicherstellt.
Umfangreiche Datenexfiltration
Der Jarka-Infostealer zeichnet sich durch ein breites Arsenal an Spionagefunktionen aus:
- Extraktion sensibler Browserdaten (Passwörter, Cookies, Autofill)
- Systemweite Screenshot-Erfassung
- Sammlung detaillierter Systeminformationen
- Diebstahl von Authentifizierungstoken aus Messaging- und Gaming-Plattformen
- Forcierte Beendigung von Browserprozessen zur Umgehung von Sicherheitsmechanismen
Globale Verbreitung und Malware-as-a-Service
Die Analyse der Infektionen zeigt eine breite geografische Streuung mit Schwerpunkten in den USA, China, Frankreich, Deutschland und Russland. Besonders besorgniserregend ist die Verbreitung der Malware als Malware-as-a-Service über Telegram-Kanäle sowie die öffentliche Verfügbarkeit des Quellcodes auf GitHub, was weiteren Cyberkriminellen den Zugang zu dieser Schadsoftware ermöglicht.
Präventive Sicherheitsmaßnahmen
Zur Minimierung der Risiken durch Software-Supply-Chain-Angriffe empfehlen Sicherheitsexperten folgende Maßnahmen:
- Implementation strenger Code-Signing-Prozesse
- Sorgfältige Evaluation von Drittanbieter-Paketen
- Einsatz automatisierter Sicherheitsscanning-Tools
- Regelmäßige Sicherheitsaudits der verwendeten Komponenten
Obwohl die identifizierten Malware-Pakete inzwischen aus PyPI entfernt wurden, unterstreicht dieser Vorfall die wachsende Bedrohung durch Supply-Chain-Angriffe. Organisationen sollten ihre Sicherheitsprotokolle für die Integration von Open-Source-Komponenten überprüfen und verschärfen, insbesondere bei der Implementierung neuer Technologien wie KI-Tools. Ein mehrschichtiger Sicherheitsansatz, kombiniert mit regelmäßigen Sicherheitsüberprüfungen, ist essentiell für die Aufrechterhaltung einer robusten Cybersicherheitsposition.
