隐藏在Python包中的恶意软件影响全球开发者

在PyPI上的两个恶意Python包模仿AI工具，但却暗中安装了JarkaStealer恶意软件，偷取了1700多名用户的敏感数据。

卡巴斯基的网络安全专家发现了在Python包索引（PyPI）上的两个恶意Python包，PyPI是一个广泛使用的软件库，如周四公告所述。

这些包声称可以帮助开发者与像GPT-4 Turbo和Claude AI这样的高级语言模型进行交互，但实际上是为了安装名为JarkaStealer的恶意软件。

这些被命名为“gptplus”和“claudeai-eng”的包看似合法，其描述和示例展示了如何使用它们创建AI驱动的聊天。

实际上，他们只是假装使用ChatGPT的演示版本进行工作。他们真正的目的是传送恶意软件。代码中隐藏着一个机制，可以下载并安装JarkaStealer，从而危害用户的系统。

如果Java还没有安装，这些包甚至会从Dropbox下载并安装它，以确保恶意软件可以运行。

这些恶意软件包已经存在了一年多的时间，在此期间，来自30多个国家的用户下载了1700多次。

这种恶意软件针对的是浏览器信息、屏幕截图、系统详细信息，甚至包括Telegram、Discord和Steam等应用的会话令牌等机密数据。这些被盗取的数据被发送给攻击者，然后从受害者的电脑中删除。

JarkaStealer是一种常用于收集敏感信息的危险工具。在GitHub上也发现了其源代码，这表明在PyPI上分发它的人可能并非其原始作者。

PyPI的管理员已经移除了这些恶意包，但类似的威胁可能会在其他地方出现。

安装了这些包的开发者应立即删除它们，并更改在受影响设备上使用的所有密码和会话令牌。虽然恶意软件本身不会持续存在，但它可能已经窃取了关键信息。

为了保证安全，鼓励开发者在使用开源软件之前仔细检查，包括查看发布者的个人资料和包的详细信息。

为了增强安全性，可以在开发过程中加入检测开源组件中威胁的工具，以帮助防止此类攻击。