PyPI 攻击:ChatGPT、Claude 模仿者通过 Python 库传播 JarkaStealer

《Java代码审计》http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484219&idx=1&sn=73564e316a4c9794019f15dd6b3ba9f6&chksm=c0e47a67f793f371e9f6a4fbc06e7929cb1480b7320fae34c32563307df3a28aca49d1a4addd&scene=21#wechat_redirect

《Web安全》http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484238&idx=1&sn=ca66551c31e37b8d726f151265fc9211&chksm=c0e47a12f793f3049fefde6e9ebe9ec4e2c7626b8594511bd314783719c216bd9929962a71e6&scene=21#wechat_redirect

网络安全研究人员发现上传到 Python 软件包索引 (PyPI) 存储库的两个恶意软件包,它们模仿 OpenAI ChatGPT 和 Anthropic Claude 等流行的人工智能 (AI) 模型来传播名为 JarkaStealer 的信息窃取程序。

这两个软件包名为gptplusclaudeai-eng ,由名为"Xeroline "的用户于 2023 年 11 月上传,分别吸引了 1,748 次和 1,826 次下载。这两个库都不再可从 PyPI 下载。

卡巴斯基在帖子中表示: "这些恶意软件软件包由同一作者上传到存储库,实际上,它们之间仅在名称和描述上有所不同。"

这些软件包据称提供了访问 GPT-4 Turbo API 和 Claude AI API 的方法,但却隐藏了恶意代码,会在安装时启动恶意软件的部署。

具体来说,这些包中的"init.py"文件包含 Base64 编码的数据,其中包含从 GitHub 存储库("github.com/imystorage/storage")下载 Java 存档文件("JavaUpdater.jar")的代码。如果主机上尚未安装 Java,它还会在运行 JAR 文件之前从 Dropbox URL 下载 Java 运行时环境 (JRE)。

该 JAR 文件是一个名为 JarkaStealer 的基于 Java 的信息窃取程序,可以窃取各种敏感信息,包括来自 Telegram、Discord 和 Steam 等各种应用程序的 Web 浏览器数据、系统数据、屏幕截图和会话令牌。

在最后一步中,收集的信息被存档,传输到攻击者的服务器,然后从受害者的机器中删除。据发现,JarkaStealer 通过Telegram 频道以恶意软件即服务 (MaaS) 模式提供,价格在 20 至 50 美元之间,尽管其源代码已在 GitHub 上泄露

ClickPy 的统计数据显示,这些软件包主要由位于美国、中国、印度、法国、德国和俄罗斯的用户下载,这是长达一年的供应链攻击活动的一部分。

卡巴斯基研究员 Leonid Bezvershenko表示:"这一发现凸显了软件供应链攻击的持续风险,并强调了在将开源组件集成到开发过程中时必须保持警惕。"

相关推荐
NiceCloud喜云5 小时前
ClaudeAPI 接入 n8n / Dify / Open WebUI 实战:Base URL 配置、调用示例与排错
开发语言·ai·chatgpt·aigc
yalipf7 小时前
chatgpt调研-强化学习训练资源
chatgpt
CypressTel7 小时前
OpenAI推出ChatGPT Work:AI开始从“回答问题”走向“完成工作”——赛柏特AI快讯
人工智能·chatgpt
yyyyyuanxian8 小时前
一次 ChatGPT Plus 订阅经历:网页端支付受限后,我在 iPhone 内购页完成了订阅
人工智能·chatgpt·iphone·chatgpt plus
LaughingZhu9 小时前
Product Hunt 每日热榜 | 2026-07-17
前端·数据库·人工智能·经验分享·mysql·chatgpt·html
不爱记笔记1 天前
音视频内容如何纳入Obsidian知识库?分享一套完整的输入层解决方案
人工智能·ai·chatgpt·音视频·知识库·知识管理·obsidian
NebulaData1 天前
GPT-5.6三档模型全线发布,Codex并入ChatGPT迈入Agent时代
人工智能·gpt·chatgpt
硬核子牙1 天前
代码展示大模型的智能
linux·chatgpt·agent
卡卡罗特AI1 天前
曾经狂推的 Superpowers,今天我终于把它卸载了! 臃肿,Token吞金兽!
后端·chatgpt·ai编程
武子康1 天前
Fable 5 的 7 月 19 日不是发布延期:模型可用性正在变成动态资源(九维可用性 + SLO 重构)
人工智能·chatgpt·claude