Обнаружена атака на цепочку поставок программного обеспечения, продолжавшаяся около года. Эксперт «Газинформсервиса» рассказал, как защититься от подобных атак.
Через репозиторий PyPI распространялись вредоносные пакеты, замаскированные под инструменты для создания чат-ботов на основе нейросетей, говорится в сообщении «Лаборатории Касперского». После установки эти пакеты заражали устройства стилером Jarka, который использовался для кражи данных. Зловред способен не только похищать данные из браузеров, но и делать скриншоты, собирать системную информацию, перехватывать токены сеансов из таких приложений, как Telegram, Discord, Steam, а также манипулировать процессами браузеров, чтобы извлекать сохранённые данные.
Вредоносные пакеты появились на платформе PyPI в ноябре 2023 года и до момента их выявления были загружены 1,7 тысяч раз пользователями из 30 стран. Наибольший интерес к ним проявили в США, Китае, Франции, Германии и России.
Пакеты маскировались под оболочки для популярных нейросетевых чат-ботов, таких как ChatGPT от OpenAI и Claude AI от Anthropic. Они предоставляли доступ к функциональности чат-ботов, одновременно устанавливая стилер Jarka, написанный на языке Java.
Руководитель лаборатории исследований кибербезопасности аналитического центра кибербезопасности «Газинформсервиса» Вадим Матвиенко:
«Каждый день в программном обеспечении выявляются сотни уязвимостей. Причина этому — ошибки в программировании и архитектуре приложений. Однако в последние годы злоумышленники всё чаще совершают целенаправленные атаки на цепочки поставок программного обеспечения. Чтобы избежать подобных инцидентов, команды разработчиков должны следовать передовым практикам DevSecOps. В этом им помогут инструменты статического и динамического анализа кода, такие как SafeERP».
