Kaspersky hat eine Supply-Chain-Angriffskampagne aufgedeckt, die auf das Python Package Index (PyPI) Repository abzielt und fast ein Jahr lang unbemerkt lief. Die Angreifer nutzen funktionale KI-Chatbot-Tools als Köder, um schädliche Pakete mit einer modifizierten Version der JarkaStealer-Malware zu verbreiten und Informationen abzugreifen. Betroffen sind Nutzer weltweit – darunter auch in Deutschland. PyPl hat die schädlichen Pakete inzwischen entfernt.
Die schädlichen Pakete waren bereits seit November 2023 auf PyPI verfügbar und wurden über 1700 Mal in mehr als 30 Ländern heruntergeladen, bevor sie entdeckt und entfernt wurden. Laut PyPI-Statistiken externer Monitoring-Dienste war die Kampagne in den USA, China, Frankreich, Deutschland und Russland am aktivsten. Kaspersky geht allerdings davon aus, dass sie nicht auf bestimmte Organisationen oder geografische Regionen ausgerichtet war – die Betroffenen waren scheinbar Einzelanwender.
Identifiziert wurde die Bedrohung mithilfe eines internen automatisierten Systems zur Überwachung von Open-Source-Repositories. Die Pakete waren als Python-Wrapper für beliebte KI-Tools – insbesondere ChatGPT von OpenAI und Claude AI von Anthropic – getarnt. Die Pakete stellten zwar legitime KI-Chatbot-Funktionen bereit, jedoch versteckte sich darin auch die Malware JarkaStealer, die dann auf den Systemen der Nutzer installiert wurde.
Der in Java geschriebene JarkaStealer kann den Sicherheitsforschern zufolge Daten aus verschiedenen Browsern stehlen, Screenshots erstellen, Systeminformationen sammeln und Sitzungs-Token von Anwendungen wie Telegram, Discord, Steam und sogar einem Minecraft-Cheat-Client abgreifen. Weiterhin verfügt die Malware über Funktionen zum Beenden von Browser-Prozessen, wie Chrome und Edge, um auf gespeicherte Daten zuzugreifen und diese zu extrahieren. Die gesammelten Informationen werden archiviert und auf den Server des Angreifers exfiltriert, bevor sie vom infizierten Computer gelöscht werden.
„Die Entdeckung dieses Supply-Chain-Angriffs unterstreicht die anhaltende Bedrohung, die von Angriffen auf die Software-Lieferkette ausgeht, und macht deutlich, dass bei der Integration von Open-Source-Komponenten in Entwicklungsprozesse höchste Wachsamkeit geboten ist“, kommentiert Leonid Bezvershenko, Sicherheitsforscher im GReAT von Kaspersky. „Wir raten Unternehmen, strenge Verifizierungs- und Integritätsprüfungen durchzuführen, um die Rechtmäßigkeit und Sicherheit der von ihnen verwendeten Software und damit einhergehenden Abhängigkeiten zu gewährleisten, insbesondere bei der Integration neuer Technologien wie KI.“
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…