Зловред Jarka использовал PyPI для глобальной атаки.
Эксперты ЛК обнаружили атаку на цепочку поставок программного обеспечения, продолжавшуюся почти год. Через репозиторий PyPI распространялись вредоносные пакеты, замаскированные под инструменты для создания чат-ботов на основе нейросетей. После установки эти пакеты заражали устройства стилером Jarka, который использовался для кражи данных.
Вредоносные пакеты появились на платформе PyPI в ноябре 2023 года и до момента их выявления были загружены 1,7 тысяч раз пользователями из 30 стран. Наибольший интерес к ним проявили в США, Китае, Франции, Германии и России. Атака, судя по всему, не была нацелена на определённые регионы или организации.
Пакеты маскировались под оболочки для популярных нейросетевых чат-ботов, таких как ChatGPT от OpenAI и Claude AI от Anthropic. Они предоставляли доступ к функциональности чат-ботов, одновременно устанавливая стилер Jarka, написанный на языке Java. Зловред способен похищать данные из браузеров, делать скриншоты, собирать системную информацию, перехватывать токены сеансов из таких приложений, как Telegram, Discord, Steam, а также манипулировать процессами браузеров, чтобы извлекать сохранённые данные.
Jarka распространялся через Telegram-канал по модели MaaS (вредоносное ПО как услуга), а исходный код был загружен на GitHub, что делает его доступным для скачивания. Лингвистические признаки в коде и рекламных материалах указывают на русскоязычного разработчика.
Вредоносные пакеты были удалены после уведомления платформы, однако атака подчеркнула риски, связанные с интеграцией компонентов с открытым исходным кодом. Специалисты подчёркивают важность проверки целостности кода на всех этапах разработки для предотвращения подобных угроз.
В Матрице безопасности выбор очевиден