ЗаКОДированный вирус: хакеры воруют данные из Telegram и Discord

Обнаружена атака на цепочку поставок программного обеспечения, продолжавшаяся около года. Эксперт «Газинформсервиса» рассказал, как защититься от подобных атак.

Через репозиторий PyPI распространялись вредоносные пакеты, замаскированные под инструменты для создания чат-ботов на основе нейросетей, говорится в сообщении «Лаборатории Касперского». После установки эти пакеты заражали устройства стилером Jarka, который использовался для кражи данных. Зловред способен не только похищать данные из браузеров, но и делать скриншоты, собирать системную информацию, перехватывать токены сеансов из таких приложений, как Telegram, Discord, Steam, а также манипулировать процессами браузеров, чтобы извлекать сохранённые данные.

Вредоносные пакеты появились на платформе PyPI в ноябре 2023 года и до момента их выявления были загружены 1,7 тысяч раз пользователями из 30 стран. Наибольший интерес к ним проявили в США, Китае, Франции, Германии и России.

Пакеты маскировались под оболочки для популярных нейросетевых чат-ботов, таких как ChatGPT от OpenAI и Claude AI от Anthropic. Они предоставляли доступ к функциональности чат-ботов, одновременно устанавливая стилер Jarka, написанный на языке Java.

Руководитель лаборатории исследований кибербезопасности аналитического центра кибербезопасности «Газинформсервиса» Вадим Матвиенко:

«Каждый день в программном обеспечении выявляются сотни уязвимостей. Причина этому — ошибки в программировании и архитектуре приложений. Однако в последние годы злоумышленники всё чаще совершают целенаправленные атаки на цепочки поставок программного обеспечения. Чтобы избежать подобных инцидентов, команды разработчиков должны следовать передовым практикам DevSecOps. В этом им помогут инструменты статического и динамического анализа кода, такие как SafeERP».