22 novembre 2024Ravie LakshmananIntelligence artificielle / Malware
Des chercheurs en cybersécurité ont découvert deux packages malveillants téléchargés dans le référentiel Python Package Index (PyPI) qui ont usurpé l’identité de modèles d’intelligence artificielle (IA) populaires comme OpenAI ChatGPT et Anthropic Claude pour fournir un voleur d’informations appelé JarkaStealer.
Les paquets, nommés gptplus et claudeai-fraont été téléchargés par un utilisateur nommé “Xéroline” en novembre 2023, attirant respectivement 1 748 et 1 826 téléchargements. Les deux bibliothèques ne sont plus disponibles au téléchargement depuis PyPI.
“Les packages malveillants ont été téléchargés dans le référentiel par un seul auteur et, en fait, ne différaient les uns des autres que par leur nom et leur description”, Kaspersky dit dans un message.
Les packages étaient censés offrir un moyen d’accéder à l’API GPT-4 Turbo et à l’API Claude AI, mais contenaient un code malveillant qui a initié le déploiement du logiciel malveillant lors de l’installation.
Plus précisément, le fichier « __init__.py » de ces packages contenait des données codées en Base64 contenant du code permettant de télécharger un fichier d’archive Java (« JavaUpdater.jar ») à partir d’un référentiel GitHub (« github[.]com/imystorage/storage”). Il télécharge également Java Runtime Environment (JRE) à partir d’une URL Dropbox si Java n’est pas déjà installé sur l’hôte, avant d’exécuter le fichier JAR.
Le fichier JAR est un voleur d’informations basé sur Java appelé JarkaStealer qui peut voler un large éventail d’informations sensibles, notamment des données de navigateur Web, des données système, des captures d’écran et des jetons de session à partir de diverses applications telles que Telegram, Discord et Steam.
Lors de la dernière étape, les informations collectées sont archivées, transmises au serveur de l’attaquant, puis supprimées de la machine de la victime. JarkaStealer s’est avéré proposé sous un modèle de malware-as-a-service (MaaS) via un Chaîne de télégramme pour n’importe où entre 20 $ et 50 $, bien que son code source ait été fuite sur GitHub.
Les statistiques de ClickPy montrent que les packages ont été téléchargés principalement par des utilisateurs situés aux États-Unis, en Chine, en Inde, en France, en Allemagne et en Russie dans le cadre d’une campagne d’attaque de la chaîne d’approvisionnement qui a duré un an.
“Cette découverte souligne les risques persistants d’attaques sur la chaîne d’approvisionnement logicielle et souligne le besoin crucial de vigilance lors de l’intégration de composants open source dans les processus de développement”, a déclaré Leonid Bezvershenko, chercheur chez Kaspersky. dit.
Vous avez trouvé cet article intéressant ? Suivez-nous sur Gazouillement et LinkedIn pour lire plus de contenu exclusif que nous publions.
#ChatGPT #Claude #Impersonators #livrent #JarkaStealer #les #bibliothèques #Python