Специалисты по кибербезопасности из «Лаборатории Касперского» выявили серьезную угрозу в популярном репозитории Python-пакетов PyPI. Злоумышленники распространяли вредоносное ПО под видом инструментов для работы с известными ИИ-системами, включая ChatGPT и Claude AI. Вредоносные пакеты были загружены более 1700 раз пользователями из 30 стран мира.
Механизм работы вредоносного ПО
Инфостилер Jarka, написанный на Java, распространялся через легитимно выглядящие Python-пакеты. При установке пакета вредоносный код автоматически загружал файл JavaUpdater.jar из GitHub репозитория. В случае отсутствия Java на целевой системе, малварь самостоятельно устанавливала среду выполнения JRE из Dropbox, обеспечивая свою работоспособность.
Функциональные возможности Jarka
Вредоносное ПО обладает широким спектром возможностей по сбору конфиденциальных данных:
- Кража данных из популярных браузеров
- Создание скриншотов системы
- Сбор системной информации
- Перехват токенов сессий из Telegram, Discord, Steam и других приложений
- Принудительное завершение браузерных процессов для доступа к защищенным данным
География атаки и распространение
Наибольшее количество загрузок вредоносных пакетов зафиксировано в США, Китае, Франции, Германии и России. Широкая география атаки указывает на отсутствие таргетированного подхода со стороны злоумышленников. Особую обеспокоенность вызывает факт распространения Jarka по модели Malware-as-a-Service через Telegram-каналы, а также публичная доступность исходного кода вредоноса на GitHub.
Рекомендации по защите
В связи с участившимися атаками на цепочки поставок, специалисты рекомендуют организациям усилить меры безопасности при работе с открытым ПО:
- Внедрить строгую проверку целостности кода на всех этапах разработки
- Тщательно проверять источники и репутацию используемых пакетов
- Использовать инструменты автоматизированного анализа безопасности
- Регулярно обновлять системы безопасности и проводить аудит используемых компонентов
В настоящее время все обнаруженные вредоносные пакеты удалены из репозитория PyPI. Однако инцидент подчеркивает необходимость повышенной бдительности при использовании сторонних компонентов, особенно когда речь идет о новых технологиях, таких как инструменты искусственного интеллекта. Организациям следует уделять особое внимание проверке безопасности внедряемых решений и регулярно проводить аудит используемых библиотек.
