Фахівці з кібербезпеки виявили масштабну шкідливу кампанію, спрямовану на користувачів популярного репозиторію Python-пакетів PyPI. Зловмисники поширювали небезпечне програмне забезпечення, замасковане під інструменти для роботи з провідними системами штучного інтелекту, включаючи ChatGPT та Claude AI. За даними дослідників, шкідливі пакети були завантажені понад 1700 разів користувачами з 30 країн.
Технічний аналіз шкідливого ПЗ Jarka
Виявлений інфостілер Jarka, розроблений на Java, використовує складний механізм розповсюдження через легітимно оформлені Python-пакети. При встановленні такого пакету відбувається автоматичне завантаження файлу JavaUpdater.jar з репозиторію GitHub. Особливістю малвару є його здатність до самозабезпечення необхідним середовищем виконання – при відсутності Java на цільовій системі, шкідливе ПЗ автоматично встановлює JRE з хмарного сховища Dropbox.
Можливості та загрози інфостілера
Аналіз функціоналу Jarka виявив широкий спектр можливостей для компрометації систем та викрадення конфіденційних даних:
- Екстракція облікових даних та історії браузерів
- Автоматичне створення знімків екрану
- Збір детальної інформації про систему
- Перехоплення сесійних токенів месенджерів та ігрових платформ
- Примусове завершення процесів браузера для отримання доступу до захищених даних
Масштаби поширення та географія атак
Найбільша кількість інфікувань зафіксована в США, Китаї, Франції, Німеччині та Росії. Відсутність географічної таргетованості свідчить про масовий характер атаки. Особливе занепокоєння викликає поширення Jarka за моделлю Malware-as-a-Service через канали Telegram та доступність вихідного коду шкідливого ПЗ на GitHub.
Рекомендації щодо захисту
Для мінімізації ризиків при роботі з відкритим програмним забезпеченням рекомендується впровадити наступні заходи безпеки:
- Запровадити багаторівневу систему перевірки цілісності коду
- Здійснювати ретельний аналіз репутації сторонніх пакетів
- Використовувати автоматизовані інструменти аналізу безпеки
- Проводити регулярний аудит компонентів та оновлення систем захисту
Хоча виявлені шкідливі пакети вже видалені з PyPI, цей інцидент демонструє критичну важливість посиленого контролю безпеки при використанні сторонніх компонентів, особливо пов’язаних з новітніми технологіями штучного інтелекту. Організаціям необхідно впроваджувати комплексний підхід до перевірки безпеки впроваджуваних рішень та регулярно оновлювати політики управління ризиками в сфері розробки програмного забезпечення.
