Image by DC Studio, from Freepik
มัลแวร์ที่ซ่อนอยู่ในแพ็คเกจ Python ส่งผลกระทบต่อนักพัฒนาทั่วโลก
ระยะเวลาในการอ่าน: 1 นาที
เผยแพร่เมื่อ พย 25, 2024
-
![Kiara Fabbri]()
-
![ทีมแปลภาษา]()
แปลโดย ทีมแปลภาษา ทีมแปลภาษาและบริการแปลภาษา
สองแพคเกจ Python ที่มีเจตนาไม่ดีบน PyPI ลอกแบบเครื่องมือ AI แต่ท secretly installed JarkaStealer malware, โจรกระชากข้อมูลที่ละเอียดอ่อนจากผู้ใช้มากกว่า 1,700 คน.
รีบร้อน? นี่คือข้อเท็จจริงที่ด่วนที่สุด!
- สองแพ็กเกจ Python ที่อันตรายบน PyPI ติดตั้งมัลแวร์ JarkaStealer ลงบนระบบของผู้ใช้
- แพ็กเกจเหล่านี้เลียนแบบเครื่องมือ AI แต่ขโมยข้อมูลที่ละเอียดอ่อนจากผู้ใช้โดยไม่ทราบ
- มัลแวร์ JarkaStealer เก็บข้อมูลเช่นข้อมูลเบราว์เซอร์, โทเคนเซสชัน, และรายละเอียดของระบบ
ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ของ Kaspersky ได้ค้นพบแพ็กเกจ Python ที่เป็นมัลแวร์ 2 ชุดบน Python Package Index (PyPI) ซึ่งเป็นที่เก็บซอฟต์แวร์ที่ใช้กันอย่างแพร่หลาย ดังที่ประกาศในวันพฤหัสบดี
พวกเหล่านี้อ้างว่าจะช่วยให้นักพัฒนาสามารถทำงานร่วมกับโมเดลภาษาขั้นสูง เช่น GPT-4 Turbo และ Claude AI แต่ในความจริงแล้วถูกออกแบบมาเพื่อติดตั้งมัลแวร์ที่เรียกว่า JarkaStealer.
แพ็กเกจที่ชื่อว่า “gptplus” และ “claudeai-eng,” ดูเหมือนจะเป็นที่ยอมรับ มีคำอธิบายและตัวอย่างที่แสดงวิธีที่พวกเขาสามารถใช้สร้างแชทที่ขับเคลื่อนด้วย AI.
ในความเป็นจริง, พวกเขาเพียงแค่แสร้งทำงานโดยใช้เวอร์ชันทดลองของ ChatGPT เท่านั้น วัตถุประสงค์จริงของพวกเขาคือการส่งมัลแวร์ ซ่อนอยู่ในโค้ดคือกลไกที่ทำการดาวน์โหลดและติดตั้ง JarkaStealer ทำให้ระบบของผู้ใช้ถูกทำลาย
ถ้า Java ยังไม่ได้ติดตั้งอยู่, แพคเกจจะทำการดึงและติดตั้งจาก Dropbox เพื่อให้แน่ใจว่ามัลแวร์สามารถทำงานได้
เหล่าแพ็กเกจที่มีเจตนาร้ายนี้ พร้อมให้บริการมาเกินปีแล้ว ระหว่างนั้น ได้ถูกดาวน์โหลดโดยผู้ใช้งานมากกว่า 1,700 ครั้ง ในมากกว่า 30 ประเทศ
มัลแวร์นี้มุ่งเน้นข้อมูลส่วนบุคคล เช่น ข้อมูลเบราส์เซอร์, ภาพหน้าจอ, รายละเอียดของระบบ และแม้แต่โทเค็นเซสชันสำหรับแอปพลิเคชันเช่น Telegram, Discord, และ Steam ข้อมูลที่ถูกขโมยนี้ถูกส่งไปยังผู้โจมตี แล้วจึงถูกลบออกจากคอมพิวเตอร์ของผู้ถูกโจมตี
JarkaStealer เป็นเครื่องมือที่อันตรายที่มักถูกใช้ในการเก็บข้อมูลที่ละเอียดอ่อน โค้ดต้นฉบับยังถูกพบอยู่บน GitHub ซึ่งทำให้เราสามารถสันนิษฐานได้ว่าผู้ที่กระจายมันบน PyPI อาจจะไม่ได้เป็นผู้เขียนต้นฉบับ
ผู้ดูแลระบบของ PyPI ได้นำแพ็คเกจที่มีความร้ายแรงนี้ออกไปแล้ว แต่อาจมีความรุนแรงที่คล้ายคลึงกันปรากฏขึ้นที่อื่น
นักพัฒนาที่ติดตั้งแพคเกจเหล่านี้ควรลบทันทีและเปลี่ยนรหัสผ่านทั้งหมดและโทเค็นเซสชันที่ใช้บนอุปกรณ์ที่ได้รับผลกระทบ แม้ว่ามัลแวร์จะไม่สามารถดำรงต่อไปได้ด้วยตนเอง แต่มันอาจได้ขโมยข้อมูลสำคัญไปแล้ว
เพื่อความปลอดภัย นักพัฒนาแนะนำให้ตรวจสอบซอฟต์แวร์โอเพนซอร์สอย่างรอบคอบก่อนใช้ ซึ่งรวมถึงการตรวจสอบโปรไฟล์ของผู้จัดจำหน่ายและรายละเอียดแพคเกจ
เพื่อความปลอดภัยที่เพิ่มขึ้น การใช้เครื่องมือที่สามารถตรวจจับภัยคุกคามในส่วนประกอบของโอเพ่นซอร์สสามารถรวมไว้ในกระบวนการพัฒนาเพื่อช่วยป้องกันการโจมตีแบบนี้
บทความล่าสุด 
แสดงความคิดเห็น
ยกเลิก