» » Unlabelled » Gói PyPI độc hại giả mạo ChatGPT và Claude đánh cắp dữ liệu của nhà phát triển

Mục lục

  1. Giới thiệu
  2. Phân tích kỹ thuật
  3. Phạm vi ảnh hưởng và phát tán
  4. Lời khuyên bảo mật
  5. Kết luận

1. Giới thiệu

Gần đây, Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky đã phát hiện một cuộc tấn công chuỗi cung ứng tinh vi nhắm mục tiêu vào Chỉ mục Gói Python (PyPI). Cuộc tấn công này, kéo dài gần một năm mà không bị phát hiện, liên quan đến các gói độc hại giả mạo các công cụ chatbot AI để phân phối một phiên bản sửa đổi của mã độc JarkaStealer. Leonid Bezvershenko, một nhà nghiên cứu bảo mật tại Kaspersky GReAT, đã dẫn đầu việc phát hiện này.

Malicious PyPi Package Mimic ChatGPT & Claude Steals Developers Data

2. Phân tích kỹ thuật

Hai gói độc hại được tìm thấy trên PyPI là "gptplus" và "claudeai-eng". Chúng được tải lên vào tháng 11 năm 2023 và bắt chước các công cụ hoạt động với các mô hình ngôn ngữ AI nổi tiếng ChatGPT và Claude.

Malicious Python packages (Source – X)

Mô tả của các gói này bao gồm các ví dụ sử dụng thuyết phục, như tạo cuộc trò chuyện và gửi tin nhắn đến các mô hình ngôn ngữ AI, nhằm thu hút các nhà phát triển không nghi ngờ. Tuy nhiên, khi nhập các gói này, một quá trình ẩn sẽ thực thi dữ liệu được mã hóa Base64, tải xuống tệp JAR có tên JavaUpdater.jar từ kho lưu trữ GitHub. Tệp này chứa một phiên bản của JarkaStealer, một mã độc mạnh mẽ có khả năng đánh cắp dữ liệu trình duyệt, chụp ảnh màn hình, thu thập thông tin hệ thống và trích xuất dữ liệu phiên từ nhiều ứng dụng khác nhau, bao gồm Telegram, Discord và Steam.

Package template and structure (Source – X)

3. Phạm vi ảnh hưởng và phát tán

Trước khi bị phát hiện và xóa bỏ, các gói độc hại này đã được tải xuống hơn 1.700 lần ở hơn 30 quốc gia. Hoạt động cao nhất được báo cáo ở Hoa Kỳ, Trung Quốc, Pháp, Đức và Nga. Tuy nhiên, chiến dịch này dường như không nhắm mục tiêu vào bất kỳ tổ chức hoặc khu vực địa lý cụ thể nào.

Downloads by country (Source – X)

Điều tra của Kaspersky cho thấy JarkaStealer đang được phân phối theo mô hình Malware-as-a-Service (MaaS) thông qua một kênh Telegram và cửa hàng bot. Mã nguồn của mã độc này cũng bị rò rỉ trên GitHub, có thể cho phép các tác nhân độc hại triển khai rộng rãi hơn.

Telegram bot (Source – X)

4. Lời khuyên bảo mật

Bezvershenko nhấn mạnh tầm quan trọng của việc triển khai các kiểm tra xác minh và tính toàn vẹn nghiêm ngặt để đảm bảo tính hợp pháp và bảo mật của phần mềm và các phụ thuộc, đặc biệt là khi xử lý các công nghệ mới nổi như AI.

5. Kết luận

Kaspersky đã báo cáo những phát hiện của mình cho PyPI, dẫn đến việc loại bỏ các gói độc hại. Công ty an ninh mạng này tiếp tục tích cực theo dõi các mối đe dọa tương tự để bảo vệ chuỗi cung ứng phần mềm. Sự việc này một lần nữa nhấn mạnh tầm quan trọng của việc kiểm tra kỹ lưỡng nguồn gốc và tính toàn vẹn của các gói phần mềm trước khi sử dụng, đặc biệt là từ các nguồn không chính thức.


tháng 11 24, 2024

0 comments Blogger 0 Facebook

Đăng nhận xét

Đăng ký: Đăng Nhận xét (Atom)
 
Agent.ai.vn © 2024 - Nắm bắt tương lai
Top