{"id":1452862,"date":"2024-11-22T08:15:32","date_gmt":"2024-11-22T08:15:32","guid":{"rendered":"https:\/\/teknomers.com\/es\/ataque-pypi-chatgpt-y-los-imitadores-de-claude-entregan-jarkastealer-a-traves-de-bibliotecas-python\/"},"modified":"2024-11-22T08:15:38","modified_gmt":"2024-11-22T08:15:38","slug":"ataque-pypi-chatgpt-y-los-imitadores-de-claude-entregan-jarkastealer-a-traves-de-bibliotecas-python","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/ataque-pypi-chatgpt-y-los-imitadores-de-claude-entregan-jarkastealer-a-traves-de-bibliotecas-python\/","title":{"rendered":"Ataque PyPI: ChatGPT y los imitadores de Claude entregan JarkaStealer a trav\u00e9s de bibliotecas Python"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>22 de noviembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Inteligencia artificial\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Investigadores de ciberseguridad han descubierto dos paquetes maliciosos cargados en el repositorio Python Package Index (PyPI) que se hac\u00edan pasar por modelos populares de inteligencia artificial (IA) como OpenAI ChatGPT y Anthropic Claude para entregar un ladr\u00f3n de informaci\u00f3n llamado JarkaStealer.<\/p>\n

Los paquetes, llamados gptplus<\/a> y claudeai-eng<\/a>fueron subidos por un usuario llamado “Xerolina<\/a>” en noviembre de 2023, atrayendo 1748 y 1826 descargas, respectivamente. Ambas bibliotecas ya no est\u00e1n disponibles para descargar desde PyPI.<\/p>\n

“Los paquetes maliciosos fueron cargados en el repositorio por un solo autor y, de hecho, se diferenciaban entre s\u00ed s\u00f3lo en el nombre y la descripci\u00f3n”, Kaspersky dicho<\/a> en una publicaci\u00f3n.<\/p>\n

Los paquetes pretend\u00edan ofrecer una forma de acceder a GPT-4 Turbo API y Claude AI API, pero albergaban c\u00f3digo malicioso que iniciaba la implementaci\u00f3n del malware tras la instalaci\u00f3n.<\/p>\n

Espec\u00edficamente, el archivo “__init__.py” en estos paquetes conten\u00eda datos codificados en Base64 que conten\u00edan c\u00f3digo para descargar un archivo Java (“JavaUpdater.jar”) desde un repositorio de GitHub (“github[.]com\/imystorage\/storage”). Tambi\u00e9n descarga Java Runtime Environment (JRE) desde una URL de Dropbox si Java a\u00fan no est\u00e1 instalado en el host, antes de ejecutar el archivo JAR.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El archivo JAR es un ladr\u00f3n de informaci\u00f3n basado en Java llamado JarkaStealer que puede robar una amplia gama de informaci\u00f3n confidencial, incluidos datos del navegador web, datos del sistema, capturas de pantalla y tokens de sesi\u00f3n de varias aplicaciones como Telegram, Discord y Steam.<\/p>\n

En el paso final, la informaci\u00f3n recopilada se archiva, se transmite al servidor del atacante y luego se elimina de la m\u00e1quina de la v\u00edctima. Se ha descubierto que JarkaStealer se ofrece bajo un modelo de malware como servicio (MaaS) a trav\u00e9s de un canal de telegramas<\/a> por entre $ 20 y $ 50, aunque su c\u00f3digo fuente ha sido filtrado en GitHub<\/a>.<\/p>\n

Las estad\u00edsticas de ClickPy muestran que los paquetes fueron descargados principalmente por usuarios ubicados en EE. UU., China, India, Francia, Alemania y Rusia como parte de la campa\u00f1a de ataque a la cadena de suministro que dur\u00f3 un a\u00f1o.<\/p>\n

“Este descubrimiento subraya los riesgos persistentes de los ataques a la cadena de suministro de software y destaca la necesidad cr\u00edtica de vigilancia al integrar componentes de c\u00f3digo abierto en los procesos de desarrollo”, dijo el investigador de Kaspersky Leonid Bezvershenko. dicho<\/a>.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n