Pythonパッケージに隠されたマルウェアが世界中の開発者に影響を及ぼしています

PyPI上の2つの悪意あるPythonパッケージがAIツールを装いつつ、こっそりとJarkaStealerマルウェアをインストールし、1700人以上のユーザーから機密データを盗みました。

カスペルスキーのサイバーセキュリティ専門家たちは、広く使用されているソフトウェアリポジトリであるPython Package Index（PyPI）上にある2つの悪質なPythonパッケージを発見しました。これは木曜日に発表されました。

これらのパッケージは、GPT-4 TurboやClaude AIのような高度な言語モデルと開発者が対話するのを助けると主張していましたが、実際にはJarkaStealerと呼ばれるマルウェアをインストールするために設計されていました。

「gptplus」や「claudeai-eng」という名前のパッケージは、正当そうに見え、説明や例が示されており、それらがどのようにAI駆動のチャットを作成するために使用できるかを示していました。

実際には、彼らはChatGPTのデモ版を使って仕事をしているフリをしていました。彼らの本当の目的は、マルウェアを配布することでした。コードの中には、JarkaStealerをダウンロードしてインストールし、ユーザーのシステムを侵害する仕組みが隠されていました。

もしJavaがすでにインストールされていない場合、パッケージはDropboxからそれを取得し、インストールすることで、マルウェアが実行できることを確認します。

これらの悪意あるパッケージは1年以上も利用可能で、その間に30カ国以上のユーザーによって1,700回以上ダウンロードされました。

このマルウェアは、ブラウザ情報、スクリーンショット、システム詳細、さらにはTelegram、Discord、Steamなどのアプリケーションのセッショントークンなどの機密データを狙いました。この盗まれたデータは攻撃者に送信され、その後、被害者のコンピューターから消去されました。

JarkaStealerは、機密情報を収集するためによく使用される危険なツールです。そのソースコードはGitHub上でも見つかり、PyPIで配布している人々が元々の作者ではなかった可能性を示唆しています。

PyPIの管理者はこれらの悪意のあるパッケージを削除しましたが、同様の脅威が他の場所に現れる可能性があります。

これらのパッケージをインストールした開発者は、すぐにそれらを削除し、影響を受けたデバイスで使用されたすべてのパスワードとセッショントークンを変更する必要があります。マルウェアは自己持続的ではありませんが、すでに重要な情報を盗まれている可能性があります。

安全を確保するために、開発者は使用前にオープンソースソフトウェアを慎重に検査することが推奨されています。これには、パブリッシャーのプロフィールとパッケージの詳細をチェックすることも含まれます。

セキュリティ強化のため、開発プロセスにおけるオープンソースコンポーネントの脅威を検出するツールを組み込むことで、こうした攻撃を防ぐ手助けができます。