Dos paquetes de Python que afirman integrarse con chatbots populares en realidad están entregando un ladrón de información a potencialmente miles de víctimas.
La liberación de paquetes de código abierto que contienen malware oculto es una forma popular de infectar a los desarrolladores de aplicacionesy las organizaciones para las que trabajan o sirven como clientes. En este último caso, los objetivos eran ingenieros ansiosos por aprovechar al máximo las plataformas de inteligencia artificial generativa (GenAI) de OpenAI y Claude of Anthrophic. Los paquetes, que afirman proporcionar acceso a la interfaz de programación de aplicaciones (API) a la funcionalidad del chatbot, en realidad ofrece un ladrón de información llamado “JarkaStealer”.
“La IA es muy popular, pero muchos de estos servicios también son de pago”, señala George Apostopoulos, ingeniero fundador de Endor Labs. Como resultado, en los círculos maliciosos se intenta atraer a la gente hacia el libre acceso, “y la gente que no conoce nada mejor caerá en la trampa”.
Dos paquetes maliciosos de Python “GenAI”
El año pasado, por esta época, alguien creó un perfil con el nombre de usuario “Xeroline” en el índice de paquetes de Python (PyPI)el repositorio oficial de terceros para paquetes de Python de código abierto. Tres días después, la persona publicó dos paquetes personalizados en el sitio. El primero, “gptplus”, pretendía permitir el acceso API al modelo de aprendizaje de idiomas (LLM) GPT-4 Turbo de OpenAI. El segundo, “claudeai-eng”, ofrecía lo mismo para el popular competidor de ChatGPT, Claude.
Ninguno de los paquetes hace lo que dice hacer, pero cada uno proporciona a los usuarios un sustituto a medias: un mecanismo para interactuar con la versión de demostración gratuita de ChatGPT. Como dice Apostopoulos: “A primera vista, este ataque no es inusual, pero lo que lo hace interesante es que si lo descargas e intentas usarlo, tendrás la impresión de que funciona. legítimo.”
Mientras tanto, bajo el capó, los programas colocarían un archivo Java Archive (JAR) que contenía JarkaStealer.
JarkaStealer es un ladrón de información recientemente documentado que se vende en la Dark Web en ruso por solo 20 dólares (con varias modificaciones disponibles por 3 a 10 dólares cada una), aunque su código fuente también está disponible de forma gratuita en GitHub. Es capaz de realizar todas las tareas básicas que uno esperaría: robar datos del sistema objetivo y de los navegadores que se ejecutan en él, tomar capturas de pantalla y recuperar tokens de sesión de varias aplicaciones populares como Telegram, Discord y Steam. Su eficacia en estas tareas es cuestionable.
El año bajo el sol de Gptplus y Claudeai-eng
Ambos paquetes lograron sobrevivir en PyPI durante un año, hasta que los investigadores de Kaspersky los detectaron y reportaron recientemente. moderadores de plataforma. Desde entonces se han desconectado, pero mientras tanto se han descargado más de 1.700 veces, en sistemas Windows y Linux, en más de 30 países, la mayoría de las veces en Estados Unidos.
Sin embargo, estas estadísticas de descarga pueden ser ligeramente engañosas, ya que los datos del sitio de análisis de PyPI “ClickPy” muestran que ambos, especialmente gptplus – experimentó una gran caída en las descargas después del primer día, lo que llevó a especular que Xeroline pudo haber inflado artificialmente su popularidad (claudeai-frahay que reconocerlo, experimentó un crecimiento constante en febrero y marzo).
“Una de las cosas que [security professionals] Lo que recomiendo es que antes de descargarlo veas si el paquete es popular, si otras personas lo están usando. Por lo tanto, tiene sentido que los atacantes intenten aumentar este número con algunos trucos para que parezca legítimo”, dice Apostopoulos.
Y añade: “Por supuesto, la mayoría de la gente corriente ni siquiera se molestará en utilizarlo. Simplemente lo configurarán e instalarán”.