Python Paketlerinde Gizlenmiş Zararlı Yazılım, Dünya Çapındaki Geliştiricileri Etkiliyor

PyPI’deki iki kötü amaçlı Python paketi, AI araçlarını taklit ederken gizlice JarkaStealer zararlı yazılımını yükledi ve 1.700’den fazla kullanıcının hassas verilerini çaldı.

Kaspersky’nin siber güvenlik uzmanları, geniş çapta kullanılan bir yazılım deposu olan Python Package Index (PyPI) üzerinde iki zararlı Python paketi keşfetti. Bu durum, Perşembe günü duyuruldu.

Bu paketler, GPT-4 Turbo ve Claude AI gibi ileri düzey dil modelleriyle geliştiricilerin etkileşim kurmasına yardımcı olmayı iddia ediyordu ancak aslında JarkaStealer adlı kötü amaçlı yazılımı yüklemek üzere tasarlanmıştı.

“gptplus” ve “claudeai-eng” adlı paketler, nasıl kullanılabileceklerini gösteren açıklamalar ve örneklerle meşru görünüyordu. Bunlar, AI destekli sohbetler oluşturmak için kullanılabilirlerdi.

Aslında, sadece ChatGPT’nin demo sürümünü kullanarak çalışıyormuş gibi davranıyorlardı. Gerçek amaçları, kötü amaçlı yazılımı teslim etmekti. Kodun içinde, kullanıcının sistemini tehlikeye atan JarkaStealer’ı indiren ve kuran bir mekanizma gizlenmişti.

Eğer Java zaten kurulu değilse, paketler bile kötü amaçlı yazılımın çalışmasını sağlamak için Dropbox’tan getirip kurardı.

Bu zararlı paketler bir yıldan fazla bir süre boyunca mevcuttu ve bu süre zarfında 30’dan fazla ülkedeki kullanıcılar tarafından 1.700’den fazla kez indirildi.

Bu kötü amaçlı yazılım, tarayıcı bilgileri, ekran görüntüleri, sistem detayları ve hatta Telegram, Discord ve Steam gibi uygulamalar için oturum belirteçleri gibi gizli verileri hedef alıyordu. Bu çalınan veriler saldırganlara gönderildi ve ardından kurbanın bilgisayarından silindi.

JarkaStealer, hassas bilgileri toplamak için sıklıkla kullanılan tehlikeli bir araçtır. Kaynak kodu ayrıca GitHub’da bulundu, bu da onu PyPI’da dağıtan kişilerin orijinal yazarları olmayabileceğini düşündürüyor.

PyPI yöneticileri bu zararlı paketleri kaldırdı ancak benzer tehditler başka yerlerde de ortaya çıkabilir.

Bu paketleri kuran geliştiricilerin, bunları hemen silmeleri ve etkilenen cihazlarda kullanılan tüm şifreleri ve oturum belirteçlerini değiştirmeleri gerekmektedir. Bu zararlı yazılım kendi başına devam etmese de, zaten kritik bilgileri çalmış olabilir.

Güvende kalmak için, geliştiricilerin açık kaynaklı yazılımları kullanmadan önce dikkatlice incelemeleri önerilir, bu da yayıncının profilini ve paket detaylarını kontrol etmeyi içerir.

Ek güvenlik için, açık kaynaklı bileşenlerde tehditleri algılayan araçlar, bu tür saldırıları önlemeye yardımcı olmak için geliştirme süreçlerine dahil edilebilir.