Malware Oculto em Pacotes Python Afeta Desenvolvedores em Todo o Mundo

Dois pacotes maliciosos de Python no PyPI imitaram ferramentas de IA, mas secretamente instalaram o malware JarkaStealer, roubando dados sensíveis de mais de 1.700 usuários.

Os especialistas em cibersegurança da Kaspersky descobriram dois pacotes Python maliciosos no Python Package Index (PyPI), um repositório de software amplamente utilizado, conforme anunciado na quinta-feira.

Esses pacotes alegavam ajudar os desenvolvedores a interagir com modelos de linguagem avançados como o GPT-4 Turbo e o Claude AI, mas na verdade foram projetados para instalar um malware chamado JarkaStealer.

Os pacotes, denominados “gptplus” e “claudeai-eng”, pareciam legítimos, com descrições e exemplos mostrando como eles poderiam ser usados para criar chats alimentados por IA.

Na realidade, eles apenas fingiram trabalhar usando uma versão demo do ChatGPT. O verdadeiro propósito deles era entregar malware. Escondido no código havia um mecanismo que baixava e instalava o JarkaStealer, comprometendo o sistema do usuário.

Se o Java não estivesse já instalado, os pacotes até buscariam e instalariam ele do Dropbox para garantir que o malware pudesse funcionar.

Esses pacotes maliciosos estiveram disponíveis por mais de um ano, durante o qual foram baixados mais de 1.700 vezes por usuários em mais de 30 países.

O malware visava dados confidenciais, como informações do navegador, capturas de tela, detalhes do sistema e até tokens de sessão para aplicativos como Telegram, Discord e Steam. Esses dados roubados eram enviados aos atacantes e, em seguida, apagados do computador da vítima.

JarkaStealer é uma ferramenta perigosa frequentemente utilizada para coletar informações sensíveis. O código-fonte também foi encontrado no GitHub, sugerindo que as pessoas que o distribuíram no PyPI podem não ter sido seus autores originais.

Os administradores do PyPI desde então removeram esses pacotes maliciosos, mas ameaças semelhantes podem aparecer em outros lugares.

Desenvolvedores que instalaram esses pacotes devem excluí-los imediatamente e alterar todas as senhas e tokens de sessão usados nos dispositivos afetados. Embora o malware não persista por si só, ele já pode ter roubado informações críticas.

Para permanecer seguro, os desenvolvedores são incentivados a inspecionar cuidadosamente o software de código aberto antes de usar, incluindo a verificação do perfil do editor e os detalhes do pacote.

Para maior segurança, ferramentas que detectam ameaças em componentes de código aberto podem ser incluídas nos processos de desenvolvimento para ajudar a prevenir tais ataques.