Malware in Python-Paketen Versteckt Beeinflusst Entwickler Weltweit

Zwei bösartige Python-Pakete auf PyPI imitierten KI-Tools, installierten aber heimlich die JarkaStealer-Malware und stahlen sensible Daten von über 1.700 Benutzern.

Die Cybersicherheitsexperten von Kaspersky haben zwei schädliche Python-Pakete im Python Package Index (PyPI), einem weit verbreiteten Software-Repository, entdeckt, wie am Donnerstag angekündigt wurde.

Diese Pakete behaupteten, Entwicklern bei der Interaktion mit fortschrittlichen Sprachmodellen wie GPT-4 Turbo und Claude AI zu helfen, waren aber tatsächlich dazu konzipiert, Schadsoftware namens JarkaStealer zu installieren.

Die Pakete, benannt „gptplus“ und „claudeai-eng“, wirkten legitim, mit Beschreibungen und Beispielen, die zeigten, wie sie zur Erstellung von KI-gesteuerten Chats verwendet werden könnten.

In Wirklichkeit haben sie nur vorgetäuscht zu arbeiten, indem sie eine Demoversion von ChatGPT verwendeten. Ihr tatsächliches Ziel war es, Malware zu liefern. Versteckt im Code war ein Mechanismus, der JarkaStealer herunterlud und installierte und dadurch das System des Benutzers gefährdete.

Wenn Java nicht bereits installiert war, würden die Pakete es sogar von Dropbox abrufen und installieren, um sicherzustellen, dass die Malware ausgeführt werden konnte.

Diese bösartigen Pakete waren über ein Jahr lang verfügbar, währenddessen sie von Nutzern in mehr als 30 Ländern über 1.700 Mal heruntergeladen wurden.

Die Malware zielte auf vertrauliche Daten ab, wie Browserinformationen, Screenshots, Systemdetails und sogar Session-Tokens für Anwendungen wie Telegram, Discord und Steam. Diese gestohlenen Daten wurden an die Angreifer gesendet und dann vom Computer des Opfers gelöscht.

JarkaStealer ist ein gefährliches Werkzeug, das häufig zur Sammlung sensibler Informationen verwendet wird. Der Quellcode wurde auch auf GitHub gefunden, was darauf hindeutet, dass die Personen, die es auf PyPI verteilen, möglicherweise nicht seine ursprünglichen Autoren waren.

Die Administratoren von PyPI haben diese schädlichen Pakete seitdem entfernt, aber ähnliche Bedrohungen könnten anderswo auftauchen.

Entwickler, die diese Pakete installiert haben, sollten sie sofort löschen und alle Passwörter und Sitzungstoken, die auf betroffenen Geräten verwendet wurden, ändern. Auch wenn sich die Malware nicht von selbst erhält, könnte sie bereits kritische Informationen gestohlen haben.

Um sicher zu bleiben, werden Entwickler dazu ermutigt, Open-Source-Software vor der Verwendung sorgfältig zu prüfen, einschließlich der Überprüfung des Profils des Herausgebers und der Paketdetails.

Für zusätzliche Sicherheit können Werkzeuge, die Bedrohungen in Open-Source-Komponenten erkennen, in Entwicklungsprozesse integriert werden, um solche Angriffe zu verhindern.