Стилер жыл бойы нейрондық желілерді басқаруға арналған құралдар ретінде заңды сақтау арқылы таратылды
Kaspersky GReAT («Касперский зертханасы» жаһандық қауіп-қатерді зерттеу және талдау орталығы) сарапшылары бір жылға жуық уақытқа созылған БҚ жеткізу тізбегіне шабуыл тапты. Python Package Index (PyPI) бағдарламалық жасақтама репозиторийі арқылы зиянкестер зиянды пакеттерді нейрондық желіге негізделген чат-боттарды құру құралдары ретінде таратты. Осылайша, пайдаланушылардың құрылғылары Jarka стилерін жұқтырды.
Шабуыл кімге әсер етті. Зиянды пакеттер Python бағдарламалау тілінде әзірлеушілер қолданатын PyPI репозиторийінде 2023 жылдың қараша айынан бастап қол жетімді болды. Олар табылғанға дейін оларды 30 елдің пайдаланушылары 1,7 мың рет жүктеген.
Қауіп қалай анықталды. Kaspersky GReAT сарапшылары ашық бастапқы репозиторийлерді бақылауға арналған ішкі автоматтандырылған жүйе арқылы зиянды пакеттерді тапты. Бұл пакеттер екі танымал нейрондық чатботтарға арналған Python қабықшалары ретінде жасырылды: OpenAI дан ChatGPT және Anthropic тен Claude AI. Олар чатботтың функционалдығына қол жеткізуге мүмкіндік берді, бірақ сонымен бірге пайдаланушылардың құрылғыларына Jarka стилерін орнатты.
Зиянды не істей алады. Java тілінде жазылған Jarka стилері әртүрлі браузерлерден деректерді ұрлауға, скриншоттар түсіруге, жүйелік ақпаратты жинауға, сондай-ақ Telegram, Discord, Steam сияқты қосымшалардан сеанс таңбалауыштарын алуға мүмкіндік береді және Minecraft алдау клиенті. Зиянды кодта Chrome және Edge сияқты браузерлердегі процестерді аяқтауға арналған функционалдылық бар, бұл сақталған деректерге қол жеткізуге және ұрлауға мүмкіндік береді. Вирус жұққан құрылғыдан жойылмас бұрын, жиналған ақпарат зиянкестердің серверіне мұрағат ретінде жіберілді.
Kaspersky GReAT сарапшылары зиянды бағдарламаны әзірлеуші оны Telegram арнасы арқылы және «қызмет ретінде зиянды БҚ» (Malware-as-a-Service, MaaS) моделі бойынша бот арқылы сататынын және тарататынын анықтады. Сондай-ақ, Jarka бастапқы коды GitHub-қа жүктелгені анықталды, бұл оны кез-келген пайдаланушыға жүктеуге мүмкіндік береді.
Telegram-дағы зиянды бағдарлама коды мен жарнамадан табылған тілдік артефактілерге сүйене отырып, зиянкесті орыс тілді шабуылдаушы жасаған деп орташа немесе жоғары сенімділікпен айтуға болады.
«Ашылған науқан жеткізілім тізбегіндегі шабуылдарға байланысты тұрақты тәуекелдерді көрсетеді. Әзірлеу процесінде ашық бастапқы компоненттерді біріктіру кезінде сақ болу өте маңызды. Біз ұйымдарға сыртқы бағдарламалық құралдың немесе сыртқы құрамдастардың заңдылығы мен қауіпсіздігін қамтамасыз ету үшін әзірлеудің барлық кезеңдерінде кодтың тұтастығын қатаң тексеруді енгізуді ұсынамыз. Бұл әсіресе нейрондық желілер сияқты жаңа танымал технологияларды біріктіру кезінде өте маңызды», — деп түсіндіреді Kaspersky GReAT Киберқауіпсіздік бойынша сарапшы Леонид Безершенко.
«Касперский зертханасы» зиянды PyPI пакеттері туралы хабарлады, содан кейін олар жойылды. Компания БҚ ету тізбегінің қауіпсіздігін қамтамасыз ету үшін Jarka және басқа да күдікті ашық бастапқы платформаларға, соның ішінде PyPI-ге қатысты әрекеттерді бақылауды жалғастыруда.
