{"id":22388,"date":"2024-11-22T16:57:46","date_gmt":"2024-11-22T14:57:46","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22388"},"modified":"2024-11-22T16:57:46","modified_gmt":"2024-11-22T14:57:46","slug":"jarkastealer-in-pypi-packages","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/jarkastealer-in-pypi-packages\/22388\/","title":{"rendered":"JarkaStealer dans un d\u00e9p\u00f4t PyPI"},"content":{"rendered":"

Notre \u00e9quipe de chercheurs de la Global Research and Analysis Team (GReAT) a d\u00e9couvert deux paquets malveillants dans le Python Package Index (PyPI), un c\u00e9l\u00e8bre d\u00e9p\u00f4t<\/a>\u00a0tiers officiel du\u00a0langage de programmation<\/a>\u00a0Python<\/a>. Selon les descriptions des paquets, il s\u2019agit de biblioth\u00e8ques qui permettaient de travailler avec des LLM populaires (grands mod\u00e8les de langage). En r\u00e9alit\u00e9, elles imitaient la fonctionnalit\u00e9 \u00e9nonc\u00e9e en utilisant une version de d\u00e9monstration de ChatGPT et cherchaient avant tout \u00e0 installer la programme malveillant JarkaStealer.<\/p>\n

Ces paquets ont pu \u00eatre t\u00e9l\u00e9charg\u00e9s pendant plus d\u2019un an. \u00c0 en juger par les statistiques du d\u00e9p\u00f4t, au cours de cette p\u00e9riode, ils ont \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9s plus de 1700 fois par des utilisateurs de plus de 30 pays.<\/p>\n

Paquets malveillants et leur utilisation<\/h2>\n

Un seul auteur a t\u00e9l\u00e9charg\u00e9 ces paquets malveillants sur le d\u00e9p\u00f4t qui ne se diff\u00e9rentiaient que par leur nom et leur description. Le premier s\u2019appelait \u00ab\u00a0gptplus\u00a0\u00bb et donnait soi-disant acc\u00e8s \u00e0 l\u2019API GPT-4 Turbo d\u2019OpenAI. Le second s\u2019intitulait \u00ab\u00a0claudeai-eng\u00a0\u00bb et, selon sa description, il permettait d\u2019acc\u00e9der \u00e0 l\u2019API Claude AI d\u2019Anthropic PBC.
\n\"\"<\/a>Les descriptions de ces deux paquets incluaient des exemples d\u2019utilisation qui expliquaient comment cr\u00e9er des conversations et envoyer des messages aux mod\u00e8les de langage. Mais en r\u00e9alit\u00e9, le code de ces paquets contenait un m\u00e9canisme d\u2019interaction avec le proxy de d\u00e9monstration de ChatGPT afin de convaincre la victime que le paquet fonctionnait. Pendant ce temps, le fichier __init__.py <\/em>du paquet d\u00e9codait les donn\u00e9es qui se trouvaient \u00e0 l\u2019int\u00e9rieur et t\u00e9l\u00e9chargeait le fichier JavaUpdater.jar <\/em>du d\u00e9p\u00f4t GitHub. Si la victime n\u2019avait pas install\u00e9 Java sur son dispositif, le paquet t\u00e9l\u00e9chargeait et installait Java Runtime Environment (JRE) depuis Dropbox. Le fichier jar<\/em> contenait le programme malveillant JarkaStealer, qui \u00e9tait ensuite utilis\u00e9 pour compromettre l\u2019environnement de d\u00e9veloppement et pour exfiltrer les donn\u00e9es vol\u00e9es sans \u00eatre d\u00e9tect\u00e9.<\/p>\n

Qu\u2019est-ce que le programme malveillant JarkaStealer et pourquoi est-il dangereux ?<\/h2>\n

JarkaStealer est un programme malveillant, vraisemblablement \u00e9crit par des auteurs russophones, qui \u00e9tait principalement utilis\u00e9 pour recueillir des donn\u00e9es confidentielles et les envoyer aux cybercriminels. Voici tout ce dont il \u00e9tait capable\u00a0:<\/p>\n