ΑρχικήSecurityΚακόβουλα πακέτα PyPi που μιμούνται το ChatGPT, κλέβουν δεδομένα προγραμματιστών

Κακόβουλα πακέτα PyPi που μιμούνται το ChatGPT, κλέβουν δεδομένα προγραμματιστών

Δύο κακόβουλα πακέτα Python που πλαστοπροσωπούν εργαλεία για την αλληλεπίδραση με τα δημοφιλή μοντέλα AI ChatGPT και Claude εντοπίστηκαν πρόσφατα στο Python Package Index (PyPI), το επίσημο αποθετήριο βιβλιοθηκών Python.

pypi πακέτα

Αυτά τα πακέτα έμειναν αόρατα για περισσότερο από έναν χρόνο, υπονομεύοντας κρυφά τα περιβάλλοντα ανάπτυξης και κλέβοντας ευαίσθητες πληροφορίες. Σύμφωνα με τον ερευνητή κυβερνοασφάλειας Leonid, τα κακόβουλα πακέτα εκμεταλλεύονταν τη δημοτικότητα των εργαλείων AI στις διαδικασίες ανάπτυξης λογισμικού.

Δείτε περισσότερα: Παραβιασμένα S3 buckets χρησιμοποιούνται σε επιθέσεις σε npm packages

Advertisement

Οι προγραμματιστές, που ήθελαν να ενσωματώσουν το ChatGPT και το Claude στα έργα τους, εγκαθιστούσαν αυτά τα πακέτα θεωρώντας τα νόμιμες πηγές για την αξιοποίηση των γλωσσικών μοντέλων της OpenAI και της Anthropic. Τα ονόματα των πακέτων δεν έχουν ακόμη αποκαλυφθεί, αλλά λειτουργούσαν μιμούμενα νόμιμες βιβλιοθήκες με φαινομενικά κανονικές δυνατότητες, ενώ περιείχαν κρυφά κακόβουλα σενάρια. Αυτά τα σενάρια έκλεβαν ευαίσθητα δεδομένα, όπως κλειδιά API, διαπιστευτήρια και ενδεχομένως κώδικα ιδιοκτησίας, στέλνοντάς τα σε εξωτερικούς διακομιστές που ελέγχονταν από τους hackers.

Ο ερευνητής τόνισε ότι τα πακέτα απέφευγαν την ανίχνευση για πάνω από έναν χρόνο, αναδεικνύοντας τις σημαντικές προκλήσεις στην ασφάλεια των οικοσυστημάτων ανοιχτού κώδικα. Το PyPI, βασικό εργαλείο για την ανάπτυξη Python, έχει δει αυξημένη προσοχή τα τελευταία χρόνια λόγω της αύξησης των κακόβουλων παραγόντων που εκμεταλλεύονται την ανοιχτότητά του.

Αυτή η παραβίαση έχει προκαλέσει ανησυχία στην κοινότητα ανάπτυξης, υπογραμμίζοντας τους κινδύνους από την εξάρτηση από μη επαληθευμένες third-party βιβλιοθήκες. Οι προγραμματιστές καλούνται να ελέγξουν άμεσα τις εξαρτήσεις τους και να αναθεωρήσουν οποιαδήποτε πρόσφατη εγκατάσταση πακέτων σχετικών με AI.

pypi chatgpt

Διαβάστε επίσης: Κακόβουλα πακέτα PyPi δημιουργήθηκαν από τη Lazarus

Οι συντηρητές του PyPI αναμένεται να αφαιρέσουν τα κακόβουλα πακέτα και να ενισχύσουν τα πρωτόκολλα ασφαλείας για να αποτρέψουν παρόμοια περιστατικά στο μέλλον. Ειδικοί προτείνουν την υιοθέτηση βέλτιστων πρακτικών, όπως η επαλήθευση της αυθεντικότητας των πακέτων, η χρήση εικονικών περιβαλλόντων και η αξιοποίηση αυτοματοποιημένων σαρωτών εξαρτήσεων για την ανίχνευση ευπαθειών.

Πηγή: gbhackers

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS