Malware Tersembunyi dalam Paket Python Mempengaruhi Pengembang di Seluruh Dunia

Dua paket Python jahat di PyPI meniru alat AI tetapi secara diam-diam memasang malware JarkaStealer, mencuri data sensitif dari lebih dari 1.700 pengguna.

Para ahli keamanan siber dari Kaspersky telah menemukan dua paket Python jahat di Python Package Index (PyPI), sebuah repositori perangkat lunak yang banyak digunakan, seperti diumumkan pada hari Kamis.

Paket-paket ini mengklaim dapat membantu pengembang berinteraksi dengan model bahasa canggih seperti GPT-4 Turbo dan Claude AI, tetapi sebenarnya dirancang untuk menginstal malware yang disebut JarkaStealer.

Paket-paket tersebut, yang diberi nama “gptplus” dan “claudeai-eng,” terlihat sah, dengan deskripsi dan contoh yang menunjukkan bagaimana mereka dapat digunakan untuk membuat obrolan yang ditenagai AI.

Dalam kenyataannya, mereka hanya pura-pura bekerja dengan menggunakan versi demo dari ChatGPT. Tujuan sebenarnya mereka adalah untuk menyebarkan malware. Tersembunyi dalam kode adalah mekanisme yang mengunduh dan menginstal JarkaStealer, yang mengancam sistem pengguna.

Jika Java belum terinstal, paket-paket tersebut bahkan akan mengambil dan menginstalnya dari Dropbox untuk memastikan malware dapat berjalan.

Paket-paket berbahaya ini tersedia selama lebih dari setahun, selama itu mereka telah diunduh lebih dari 1.700 kali oleh pengguna di lebih dari 30 negara.

Malware ini menargetkan data rahasia seperti informasi browser, tangkapan layar, detail sistem, dan bahkan token sesi untuk aplikasi seperti Telegram, Discord, dan Steam. Data yang dicuri ini dikirimkan ke penyerang dan kemudian dihapus dari komputer korban.

JarkaStealer adalah alat berbahaya yang sering digunakan untuk mengumpulkan informasi sensitif. Kode sumber juga ditemukan di GitHub, menunjukkan bahwa orang-orang yang mendistribusikannya di PyPI mungkin bukan penulis aslinya.

Administrator PyPI sejak itu telah menghapus paket berbahaya ini, tetapi ancaman serupa bisa muncul di tempat lain.

Para pengembang yang telah memasang paket-paket ini harus segera menghapusnya dan mengganti semua kata sandi serta token sesi yang digunakan pada perangkat yang terdampak. Meskipun malware ini tidak bertahan sendiri, bisa jadi ia sudah mencuri informasi kritis.

Untuk tetap aman, para pengembang dihimbau untuk teliti memeriksa perangkat lunak open-source sebelum digunakan, termasuk memeriksa profil penerbit dan detail paket.

Untuk peningkatan keamanan, alat-alat yang dapat mendeteksi ancaman pada komponen open-source bisa dimasukkan dalam proses pengembangan untuk membantu mencegah serangan semacam itu.