Peneliti keamanan siber telah menemukan dua paket berbahaya yang diunggah ke repositori Python Package Index (PyPI) yang meniru model kecerdasan buatan (AI) populer seperti OpenAI ChatGPT dan Anthropic Claude untuk mengirimkan pencuri informasi yang disebut JarkaStealer.
Paket tersebut, bernama gptplus dan claudeai-eng, diunggah oleh pengguna bernama “Xeroline” pada November 2023, masing-masing menarik 1.748 dan 1.826 unduhan. Kedua perpustakaan tidak lagi tersedia untuk diunduh dari PyPI.
“Paket berbahaya diunggah ke repositori oleh satu pembuat dan, pada kenyataannya, berbeda satu sama lain hanya dalam nama dan deskripsi,” kata Kaspersky dalam sebuah postingan.
Paket tersebut dimaksudkan untuk menawarkan cara mengakses GPT-4 Turbo API dan Claude AI API, namun menyembunyikan kode berbahaya yang memulai penyebaran malware saat instalasi.
Secara khusus, file “__init__.py” dalam paket ini berisi data berkode Base64 yang berisi kode untuk mengunduh file arsip Java (“JavaUpdater.jar”) dari repositori GitHub (“github[.]com/imystorage/storage”). Ini juga mengunduh Java Runtime Environment (JRE) dari URL Dropbox jika Java belum diinstal pada host, sebelum menjalankan file JAR.
File JAR adalah pencuri informasi berbasis Java yang disebut JarkaStealer yang dapat mencuri berbagai informasi sensitif, termasuk data browser web, data sistem, tangkapan layar, dan token sesi dari berbagai aplikasi seperti Telegram, Discord, dan Steam.
Pada langkah terakhir, informasi yang dikumpulkan diarsipkan, dikirimkan ke server penyerang, dan kemudian dihapus dari mesin korban. JarkaStealer ditemukan ditawarkan dengan model malware-as-a-service (MaaS) melalui saluran Telegram dengan harga antara $20 dan $50, meskipun kode sumbernya telah bocor di GitHub.
Statistik dari ClickPy menunjukkan bahwa paket-paket tersebut diunduh terutama oleh pengguna yang berlokasi di AS, Tiongkok, India, Prancis, Jerman, dan Rusia sebagai bagian dari kampanye serangan rantai pasokan selama setahun.
“Penemuan ini menggarisbawahi risiko serangan rantai pasokan perangkat lunak yang terus-menerus dan menyoroti pentingnya kewaspadaan ketika mengintegrasikan komponen sumber terbuka ke dalam proses pengembangan,” kata peneliti Kaspersky Leonid Bezvershenko.