ΑρχικήSecurityΚακόβουλα πακέτα PyPI αντιγράφουν AI μοντέλα για κλοπή δεδομένων

Κακόβουλα πακέτα PyPI αντιγράφουν AI μοντέλα για κλοπή δεδομένων

Οι ερευνητές κυβερνοασφάλειας ανακάλυψαν δύο κακόβουλα πακέτα στο αποθετήριο Python Package Index (PyPI), τα οποία παρουσιάζονταν ως δημοφιλή μοντέλα τεχνητής νοημοσύνης, όπως το OpenAI ChatGPT και το Anthropic Claude. Στόχος τους ήταν η διανομή ενός κλέφτη πληροφοριών που ονομάζεται JarkaStealer.

pypi

Τα πακέτα, με ονόματα gptplus και claudeai-eng, δημιουργήθηκαν από έναν χρήστη με το όνομα “Xeroline” τον Νοέμβριο του 2023, και είχαν συνολικά 1.748 και 1.826 λήψεις, αντίστοιχα. Πλέον, αυτά τα πακέτα δεν είναι διαθέσιμα στο PyPI. Σύμφωνα με ανάρτηση της Kaspersky, “τα κακόβουλα πακέτα δημιουργήθηκαν από τον ίδιο συγγραφέα και διέφεραν μόνο στο όνομα και την περιγραφή.” Υποτίθεται ότι προσέφεραν πρόσβαση στα GPT-4 Turbo API και Claude AI API, αλλά περιείχαν κακόβουλο κώδικα που ενεργοποιούσε το κακόβουλο λογισμικό κατά την εγκατάσταση.

Advertisement

Το αρχείο “__init__.py” σε αυτά τα πακέτα περιείχε δεδομένα κωδικοποιημένα σε Base64, τα οποία εκτελούσαν την εγκατάσταση ενός Java αρχείου (“JavaUpdater.jar”) από ένα αποθετήριο στο GitHub (“github[.]com/imystorage/storage”). Εάν το Java δεν ήταν ήδη εγκατεστημένο στον υπολογιστή, κατέβαζε το Java Runtime Environment (JRE) από ένα URL στο Dropbox πριν εκτελέσει το αρχείο JAR.

Το αρχείο JAR, γνωστό ως JarkaStealer, είναι ένας κλέφτης πληροφοριών βασισμένος στην Java, ικανός να συλλέγει ευαίσθητες πληροφορίες όπως δεδομένα από περιηγητές, πληροφορίες συστήματος, στιγμιότυπα οθόνης και tokens από εφαρμογές όπως το Telegram, Discord και Steam. Τελικά, οι συλλεγμένες πληροφορίες αρχειοθετούνται, αποστέλλονται στον διακομιστή του επιτιθέμενου και διαγράφονται από τον υπολογιστή του θύματος. Το JarkaStealer προσφέρεται ως υπηρεσία (malware-as-a-service, MaaS) μέσω ενός καναλιού στο Telegram, με κόστος από $20 έως $50, αν και ο πηγαίος κώδικας έχει διαρρεύσει στο GitHub.

Το Hubble βρήκε νεογέννητα αστέρια στο νεφέλωμα του Ωρίωνα

SecNewsTV 5 hours ago

pypi

Στατιστικά στοιχεία από το ClickPy δείχνουν ότι τα πακέτα κατέβηκαν κυρίως από χρήστες στις Η.Π.Α., Κίνα, Ινδία, Γαλλία, Γερμανία και Ρωσία, στο πλαίσιο μιας ετήσιας εκστρατείας επιθέσεων στην εφοδιαστική αλυσίδα. “Η ανακάλυψη αυτή υπογραμμίζει τους επίμονους κινδύνους επιθέσεων στην αλυσίδα εφοδιασμού λογισμικού και την ανάγκη για αυξημένη επαγρύπνηση κατά την ενσωμάτωση ανοικτών συνιστωσών στον προγραμματισμό,” δήλωσε ο ερευνητής της Kaspersky, Leonid Bezvershenko.

Πηγή: thehackernews

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS