תוכנות זדוניות מוסתרות בחבילות פייתון משפיעות על מפתחים ברחבי העולם

שני חבילות Python מרעילות ב-PyPI הזויפו ככלים של מלאכות חשיבה אך במקרה התקנו באופן סודי את תוכנת JarkaStealer, הגונבת מידע רגיש ממעל 1,700 משתמשים.

מומחי האבטחה של Kaspersky גילו שני חבילות Python זדוניות ב- Python Package Index (PyPI), מאגר תוכנה שנמצא בשימוש נרחב, כפי שהוכרז ביום חמישי.

חבילות אלו טוענות לעזור למפתחים להתממשק עם מודלים של שפה מתקדמים כמו GPT-4 Turbo ו-Claude AI, אך בפועל הן נוצרו על מנת להתקין תוכנת רעל בשם JarkaStealer.

שמות החבילות, "gptplus" ו-"claudeai-eng", נראו לגיטימיים, עם תיאורים ודוגמאות המראות כיצד ניתן להשתמש בהם כדי ליצור שיחות מונעות באמצעות AI.

בפועל, הם העמידו תוך כדי שהם עובדים על ידי שימוש בגרסת הדגמה של ChatGPT. המטרה האמיתית שלהם הייתה להפיץ תוכנת רוגע. טמון בתוך הקוד היה מנגנון שהוריד והתקין את JarkaStealer, מסכן את מערכת המשתמש.

אם Java לא היה מותקן כבר, החבילות אפילו היו מביאות ומתקינות אותו מ- Dropbox כדי להבטיח שהתוכנת הרוגע תוכל לפעול.

חבילות התוכנה הרשעיות האלה היו זמינות למעלה משנה, במהלך הזמן הזה הורדו יותר מ-1,700 פעמים על ידי משתמשים ביותר מ-30 מדינות.

התוכנה הרשעית התמקדה במידע רגיש כמו מידע מהדפדפן, צילומי מסך, פרטי מערכת, ואפילו אסימוני סשן של יישומים כמו Telegram, Discord, ו- Steam. המידע המוחטף נשלח למתקיפים ואז נמחק מהמחשב של הקורבן.

JarkaStealer הוא כלי מסוכן שלעיתים נמצא בשימוש לאיסוף מידע רגיש. הקוד המקורי נמצא גם ב-GitHub, מה שמרמז שאלו שחלקו אותו ב-PyPI ייתכן ולא היו היוצרים המקוריים שלו.

מנהלי PyPI הסירו מאז את החבילות הרעילות האלו, אך איומים דומים עלולים להופיע במקומות אחרים.

מפתחים שהתקינו את החבילות האלו צריכים למחוק אותן מיד ולשנות את כל הסיסמאות ואסימוני ההיכל שנמצאים במכשירים המושפעים. אף על פי שהתוכנה הרעילה אינה נשארת על סמך כוחה, יתכן שהיא כבר גנבה מידע קריטי.

לשמירה על בטיחותם, ממולצך למפתחים לבחון בקפידה את התוכנה בקוד פתוח לפני השימוש, כולל בדיקת הפרופיל של המוציא לאור ופרטי החבילה.

למען הבטחה מוסיפה, ניתן לכלול בתהליכים של פיתוח כלים שמזהים איומים ברכיבים מקוד פתוח, וזאת כדי לעזור למנוע התקפות מסוג זה.