⚡️Вирус в коде PyPI: Стилер Jarka ворует данные из Telegram и Discord
💬 Эксперты ЛК обнаружили атаку на цепочку поставок программного обеспечения, продолжавшуюся почти год. Через репозиторий PyPI распространялись вредоносные пакеты, замаскированные под инструменты для создания чат-ботов на основе нейросетей. После установки эти пакеты заражали устройства стилером Jarka, который использовался для кражи данных.
Вредоносные пакеты появились на платформе PyPI в ноябре 2023 года и до момента их выявления были загружены 1,7 тысяч раз пользователями из 30 стран. Наибольший интерес к ним проявили в США, Китае, Франции, Германии и России. Атака, судя по всему, не была нацелена на определённые регионы или организации.
Пакеты маскировались под оболочки для популярных нейросетевых чат-ботов, таких как ChatGPT от OpenAI и Claude AI от Anthropic. Они предоставляли доступ к функциональности чат-ботов, одновременно устанавливая стилер Jarka, написанный на языке Java. Зловред способен похищать данные из браузеров, делать скриншоты, собирать системную информацию, перехватывать токены сеансов из таких приложений, как Telegram, Discord, Steam, а также манипулировать процессами браузеров, чтобы извлекать сохранённые данные.
Jarka распространялся через Telegram-канал по модели MaaS (вредоносное ПО как услуга), а исходный код был загружен на GitHub, что делает его доступным для скачивания. Лингвистические признаки в коде и рекламных материалах указывают на русскоязычного разработчика.
Вредоносные пакеты были удалены после уведомления платформы, однако атака подчеркнула риски, связанные с интеграцией компонентов с открытым исходным кодом. Специалисты подчёркивают важность проверки целостности кода на всех этапах разработки для предотвращения подобных угроз.
🔔 ITsec NEWS