Kampagne lief unbemerkt ein Jahr lang. Höchste Aktivität unter anderem in Deutschland gemessen.
- Malware-Entwickler von JarkaStealer vermutlich russischsprachig
- JarkaStealer als Malware-as-a-Service vertrieben
Das Global Research and Analysis Team (GReAT) von Kaspersky hat eine Supply-Chain-Angriffskampagne aufgedeckt, die auf das Python Package Index (PyPI) Repository abzielte und fast ein Jahr lang unbemerkt lief. Die Angreifer nutzten funktionale KI-Chatbot-Tools als Köder, um schädliche Pakete mit einer modifizierten Version der JarkaStealer-Malware zu verbreiten und um so Informationen abzugreifen. Betroffen sind Nutzer weltweit – darunter auch in Deutschland. PyPl hat die schädlichen Pakete inzwischen entfernt.
Die schädlichen Pakete waren bereits seit November 2023 auf PyPI verfügbar und wurden über 1.700 Mal in mehr als 30 Ländern heruntergeladen, bevor sie nun schlussendlich entdeckt und entfernt wurden. Laut PyPI-Statistiken externer Monitoring-Dienste war die Kampagne in den USA, China, Frankreich, Deutschland und Russland am aktivsten, allerdings scheint sie nicht auf bestimmte Organisationen oder geografische Regionen abzuzielen; alle Betroffene scheinen Einzelanwender zu sein.
Das GReAT von Kaspersky identifizierte die Bedrohung mithilfe des internen automatisierten Systems zur Überwachung von Open-Source-Repositories. Die Pakete waren als Python-Wrapper für beliebte KI-Tools – insbesondere ChatGPT von OpenAI und Claude AI von Anthropic – getarnt. Die Pakete stellten zwar legitime KI-Chatbot-Funktionen bereit, jedoch versteckte sich darin auch die Malware JarkaStealer, die dann auf den Systemen der Nutzer installiert wurde.
Der in Java geschriebener JarkaStealer kann Daten aus verschiedenen Browsern stehlen, Screenshots erstellen, Systeminformationen sammeln und Sitzungs-Token von Anwendungen wie Telegram, Discord, Steam und sogar einem Minecraft-Cheat-Client abgreifen. Weiterhin verfügt die Malware über Funktionen zum Beenden von Browser-Prozessen, wie Chrome und Edge, um auf gespeicherte Daten zuzugreifen und diese zu extrahieren. Die gesammelten Informationen werden archiviert und auf den Server des Angreifers exfiltriert, bevor sie vom infizierten Computer gelöscht werden.
Die Kaspersky-Experten konnten zudem feststellen, dass:
- der ursprüngliche Entwickler der Malware diese über einen Telegram-Kanal und einen Bot-Shop als ein Malware-as-a-Service (MaaS)-Modell vertreibt.
- der Quellcode von JarkaStealer auf GitHub veröffentlicht wurde, so dass ihn jeder einsetzen kann.
- aufgrund von Sprachartefakten, die im Code der Malware und in der Telegram-Werbung gefunden wurden, der Autor der Malware mit mittlerer bis hoher Wahrscheinlichkeit russischsprachig ist.
„Die Entdeckung dieses Supply-Chain-Angriffs unterstreicht die anhaltende Bedrohung, dievon Angriffen auf die Software-Lieferkette ausgehen, und macht deutlich, dass bei der Integration von Open-Source-Komponenten in Entwicklungsprozesse höchste Wachsamkeit geboten ist“, fasst Leonid Bezvershenko, Sicherheitsforscher im GReAT von Kaspersky, zusammen. „Wir raten Unternehmen, strenge Verifizierungs- und Integritätsprüfungen durchzuführen, um die Rechtmäßigkeit und Sicherheit der von ihnen verwendeten Software und damit einhergehenden Abhängigkeiten zu gewährleisten, insbesondere bei der Integration neuer Technologien wie KI.“
Kaspersky hat seine Erkenntnisse an PyPI gemeldet, die schädlichen Pakete wurden aus dem Repository entfernt Das Unternehmen überwacht weiterhin aktiv alle Aktivitäten im Zusammenhang mit JarkaStealer sowie weitere verdächtige Uploads auf Open-Source-Plattformen, einschließlich PyPI, um die Software-Lieferkette zu schützen.
Die detaillierten Untersuchungen zu JarkaStealer und seiner Verwendung bei dem jüngsten Angriff auf die PyPI-Lieferkette wurden auf dem Kaspersky Threat Intelligence Portal veröffentlicht. Darüber hinaus wurden die Forschungsergebnisse von Kaspersky GReAT zu Risiken in Open-Source-Ökosystemen in den Kaspersky Open Source Software Threats Data Feed [1] integriert. Dieser Feed unterstützt Unternehmen dabei, sich proaktiv gegen Angriffe auf die Lieferkette zu schützen, indem er in Echtzeit Informationen über schädliche Aktivitäten liefert, die auf Open-Source-Plattformen abzielen.
[1] https:/www.kaspersky.com/open-source-feed
Nützliche Links:
- Kaspersky Open Source Software Threats Data Feed: https:/www.kaspersky.com/open-source-feed
