Стилер Jarka распространялся под видом инструментов для создания чат-ботов на основе нейросетей: «Лаборатория Касперского»


Стилер Jarka распространялся под видом инструментов для создания чат-ботов на основе нейросетей: «Лаборатория Касперского»

  • 04-12-2024 11:32:01   | Армения  |  Новости науки и технологии

 
Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили атаку на цепочку поставок ПО, которая длилась почти год. Через репозиторий программного обеспечения Python Package Index (PyPI) злоумышленники распространяли вредоносные пакеты под видом инструментов для создания чат-ботов на основе нейросетей. Таким образом устройства пользователей заражались стилером Jarka. 
 
«Лаборатория Касперского» сообщает, что вредоносные пакеты были доступны на репозитории PyPI, которым пользуются разработчики на языке программирования Python, с ноября 2023 года. Прежде чем их обнаружили, они были загружены 1,7 тысяч раз пользователями из 30 стран. Согласно статистике PyPI, полученной от сторонних сервисов мониторинга, самый большой интерес к этим инструментам был в США, Китае, Франции, Германии и России. Злоумышленники, судя по всему, не были нацелены на какую-то конкретную организацию или регион. 
 
Эксперты Kaspersky GReAT обнаружили вредоносные пакеты с помощью внутренней автоматизированной системы для мониторинга репозиториев с открытым исходным кодом. Эти пакеты маскировались под Python-оболочки для двух популярных чат-ботов на основе нейросетей: ChatGPT от OpenAI и Claude AI от Anthropic. Они действительно предоставляли доступ к функциональности чат-бота, но одновременно устанавливали на устройства пользователей стилер Jarka. 
 
Стилер Jarka, написанный на языке Java, позволяет красть данные из различных браузеров, делать скриншоты, собирать системную информацию, а также перехватывать токены сеансов из таких приложений, как Telegram, Discord, Steam, и чит-клиента Minecraft. В коде зловреда также содержится функциональность для завершения процессов в браузерах, таких как Chrome и Edge, что позволяет получать доступ к сохранённым данным и их похищать. Прежде чем её удаляли с заражённого устройства, собранная информация отправлялась на сервер злоумышленников в виде архива.
 
Эксперты Kaspersky GReAT обнаружили, что разработчик вредоносного ПО продаёт и распространяет его через Telegram-канал и с помощью бота по модели «вредоносное ПО как услуга» (Malware-as-a-Service, MaaS). Также выяснилось, что исходный код Jarka был загружен на GitHub, что позволяет скачать его любому пользователю.
 
Судя по языковым артефактам, обнаруженным в коде вредоносного ПО и рекламе в Telegram, можно со средней или высокой степенью уверенности сказать, что зловред создал русскоязычный злоумышленник.
 
«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок. При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов. Это особенно важно при интеграции новых популярных технологий, таких как нейросети», — комментирует Леонид Безвершенко, эксперт по кибербезопасности Kaspersky GReAT.
 
«Лаборатория Касперского» сообщила о вредоносных пакетах PyPI, после чего их удалили. Компания продолжает отслеживать активность, связанную с Jarka и другими подозрительными загрузками на платформы с открытым исходным кодом, включая PyPI, чтобы обеспечивать безопасность цепочки поставок ПО.
 
О Kaspersky GReAT
 
Глобальный центр исследования и анализа угроз Kaspersky GReAT основан в 2008 году. В его задачи входит поиск и исследование наиболее сложных атак, кампаний кибершпионажа, новых методов заражения, эксплойтов, использующих уязвимости нулевого дня. Сегодня в команде центра более 40 экспертов, работающих по всему миру — в Европе, России, Северной и Южной Америке, Азии, на Ближнем Востоке. Они известны своими достижениями в расследовании наиболее сложных атак, включая кампании кибершпионажа и киберсаботажа.
 
О «Лаборатории Касперского»
 
«Лаборатория Касперского» — международная компания, работающая в сфере информационной безопасности и цифровой приватности с 1997 года. На сегодняшний день компания защитила более 1 миллиарда устройств от массовых киберугроз и целенаправленных атак, а накопленные ей знания и опыт последовательно трансформируются в инновационные решения и услуги для защиты бизнеса, критически важной инфраструктуры, государственных органов и рядовых пользователей по всему миру. Обширное портфолио «Лаборатории Касперского» включает в себя передовые технологии для защиты конечных устройств, ряд специализированных продуктов и сервисов, а также кибериммунные решения для борьбы со сложными и постоянно эволюционирующими киберугрозами. Мы помогаем 200 тысячам корпоративных клиентов во всём мире защищать самое ценное для них. 
 
 
Представительство компании «Лаборатория Касперского» в Армении
 
 
  -   Новости науки и технологии