Стилер целый год распространялся через легальное хранилище ПО под видом инструментов для работы с нейросетями

Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили атаку на цепочку поставок ПО, которая длилась почти год.

Через репозиторий программного обеспечения Python Package Index (PyPI) злоумышленники распространяли вредоносные пакеты под видом инструментов для создания чат-ботов на основе нейросетей. Таким образом устройства пользователей заражались стилером Jarka.

Кого затронула атака? Вредоносные пакеты были доступны на репозитории PyPI, которым пользуются разработчики на языке программирования Python, с ноября 2023 года. Прежде чем их обнаружили, они были загружены 1,7 тыс. раз пользователями из 30 стран.

Как выявили угрозу? Эксперты Kaspersky GReAT обнаружили вредоносные пакеты с помощью внутренней автоматизированной системы для мониторинга репозиториев с открытым исходным кодом. Эти пакеты маскировались под Python-оболочки для двух популярных чат-ботов на основе нейросетей: ChatGPT от OpenAI и Claude AI от Anthropic. Они действительно предоставляли доступ к функциональности чат-бота, но одновременно устанавливали на устройства пользователей стилер Jarka.

Что может сделать зловред? Стилер Jarka, написанный на языке Java, позволяет красть данные из различных браузеров, делать скриншоты, собирать системную информацию, а также перехватывать токены сеансов из таких приложений, как Telegram, Discord, Steam, и чит-клиента Minecraft. В коде зловреда содержится также функциональность для завершения процессов в браузерах, таких как Chrome and Edge, что позволяет получать доступ к сохраненным данным и похищать их. Прежде чем ее удаляли с зараженного устройства, собранная информация отправлялась на сервер злоумышленников в виде архива.

Эксперты Kaspersky GReAT обнаружили, что разработчик вредоносного ПО продает и распространяет его через Telegram-канал и с помощью бота по модели «вредоносное ПО как услуга» (Malware-as-a-Service, MaaS). Выяснилось, что исходный код Jarka был загружен на GitHub, что позволяет скачать его любому пользователю.

Судя по языковым артефактам, обнаруженным в коде вредоносного ПО и рекламе в Telegram, можно со средней или высокой степенью уверенности сказать, что зловред создал русскоязычный злоумышленник.

«Обнаруженная кампания подчеркивает постоянные риски, связанные с атаками на цепочки поставок. При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов. Это особенно важно при интеграции новых популярных технологий, таких как нейросети», — комментирует Леонид Безвершенко, эксперт по кибербезопасности Kaspersky GReAT.

«Лаборатория Касперского» сообщила о вредоносных пакетах PyPI, после чего их удалили. Компания продолжает отслеживать активность, связанную с Jarka и другими подозрительными загрузками на платформы с открытым исходным кодом, включая PyPI, чтобы обеспечивать безопасность цепочки поставок ПО.