![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2024\/11\/22184414\/JarkaStealer-in-pypi-packages-01.jpg\")
<\/a><\/p>\nLas descripciones de ambos paquetes inclu\u00edan ejemplos de uso que explicaban c\u00f3mo crear chats y enviar mensajes a modelos ling\u00fc\u00edsticos. La realidad era que estos paquetes conten\u00edan un mecanismo de interacci\u00f3n con el proxy de ChatGPT con el objetivo de convencer a la v\u00edctima de que el paquete funcionaba. Mientras tanto, el archivo __init__.py <\/em>que tambi\u00e9n estaba dentro de los paquetes, descodificaba los datos de su interior y descargaba el archivo JavaUpdater.jar del repositorio de GitHub. Si Java no se encontraba en la m\u00e1quina de la v\u00edctima, descargaba e instalaba el entorno de ejecuci\u00f3n de Java (JRE) desde Dropbox. El propio archivo jar conten\u00eda el malware JarkaStealer que se usaba para comprometer el entorno de desarrollo, as\u00ed como para la exfiltraci\u00f3n no detectada de datos robados.<\/p>\n JarkaStealer es un malware, presuntamente escrito por autores de origen ruso, que se utiliza principalmente para la recopilaci\u00f3n de datos confidenciales y enviarlos a los atacantes. Esto es lo que es capaz de hacer:<\/p>\n A continuaci\u00f3n, la informaci\u00f3n recopilada se archiva, se env\u00eda al servidor del atacante y despu\u00e9s se elimina del dispositivo de la v\u00edctima.<\/p>\n Los autores del malware lo distribuyen a trav\u00e9s de Telegram utilizando el modelo de malware como servicio (MaaS). Sin embargo, tambi\u00e9n encontramos el c\u00f3digo fuente de JarkaStealer en GitHub, lo que indica que es muy probable que en esta parte no participasen los autores originales del malware.<\/p>\n Informamos r\u00e1pidamente a los administradores de PyPI sobre la implantaci\u00f3n de malware malicioso en los paquetes de gptplus y claudeai-eng. Por el momento ya han sido eliminados del repositorio. Sin embargo, no hay garant\u00edas de que esta trampa, o una similar, no se repita en otras plataformas. Seguimos vigilando la actividad relacionada con el malware JarkaStealer y buscando otras posibles amenazas en repositorios de software de c\u00f3digo abierto.<\/p>\n Para aquellas personas que descargaron y utilizaron alguno de los paquetes maliciosos, la principal recomendaci\u00f3n ser\u00eda eliminarlo de manera inmediata. El malware no tiene funcionalidad de persistencia, por lo que se activa solo cuando se utiliza el paquete. Sin embargo, todas las contrase\u00f1as y tokens de la sesi\u00f3n que se utilizaron en el dispositivo de la v\u00edctima podr\u00edan haber sido robados por JarkaStealer, por lo que ser\u00eda recomendable cambiar a otro inmediatamente.<\/p>\n Tambi\u00e9n recomendamos a los desarrolladores que presten especial atenci\u00f3n cuando trabajen con paquetes de c\u00f3digo abierto y que los inspeccionen a fondo antes de integrarlos con sus proyectos. Esto incluye un an\u00e1lisis detallado de las dependencias y la respectiva cadena de suministro de los productos de software. Especialmente cuando se trata de un tema tan publicitado como la integraci\u00f3n de tecnolog\u00edas de IA.<\/p>\n En este caso, la fecha de creaci\u00f3n del perfil del autor en PyPI podr\u00eda haber sido una se\u00f1al de alarma ya que, si observas con atenci\u00f3n la captura de pantalla anterior, se puede ver que ambos paquetes se publicaron el mismo d\u00eda, mientras que la cuenta que los public\u00f3 se registr\u00f3 apenas un par de d\u00edas antes.<\/p>\n\u00bfQu\u00e9 es el malware JarkaStealer y por qu\u00e9 es peligroso?<\/h2>\n
\n
C\u00f3mo mantenerse seguro<\/h2>\n