Kaspersky GReAT-ի («Կասպերսկի» ընկերության Սպառնալիքների հետազոտման և վերլուծության գլոբալ կենտրոն) փորձագետները հայտնաբերել են ԾԱ-ի մատակարարման շղթայի վրա գրոհ, որը տևել է գրեթե մեկ տարի: Ծրագրային ապահովման Python Package Index (PyPI) ռեպոզիտորիայի միջոցով չարագործները վնասաբեր փաթեթներ են տարածել նեյրոցանցերի հիման վրա չաթ-բոտեր ստեղծելու գործիքների քողի տակ։ Այդպես օգտատերերի սարքերը վարակվել են Jarka ստիլերով։ 

«Կասպերսկի» ընկերությունը հայտնում է, որ վնասաբեր փաթեթները 2023-ի նոյեմբերից հասանելի են եղել PyPI ռեպոզիտորիայում, որից օգտվում են Python ծրագրավորման լեզվով մշակողները։ Մինչ փաթեթների հայտնաբերումը դրանք 1,7 հազար անգամ ներբեռնվել են 30 երկրների օգտատերերի կողմից։ PyPI-ի՝ մոնիտորինգի կողմնակի ծառայություններից ստացված  վիճակագրության համաձայն՝ այս գործիքների նկատմամբ ամենամեծ հետաքրքրությունը եղել է ԱՄՆ-ում, Չինաստանում, Ֆրանսիայում, Գերմանիայում և Ռուսաստանում: Չարագործները, ըստ ամենայնի, չեն թիրախավորել որևէ կոնկրետ կազմակերպություն կամ տարածաշրջան։ 

Kaspersky GReAT-ի փորձագետները վնասաբեր փաթեթները հայտնաբերել են բաց սկզբնական կոդով ռեպոզիտորիաների մոնիտորինգի ներքին ավտոմատացված համակարգի օգնությամբ։ Դրանք քողարկվել են նեյրոցանցերի վրա հիմնված երկու հայտնի չաթ-բոտերի՝ OpenAI-ի ChatGPT-ի և Anthropic-ի Claude AI-ի համար նախատեսված Python-փաթեթներով։ Դրանք իսկապես հասանելիություն էին տրամադրում չաթ-բոտի ֆունկցիոնալությանը, բայց միաժամանակ օգտատերերի սարքերում տեղադրում էին Jarka ստիլերը։ 

Java լեզվով գրված Jarka ստիլերը թույլ է տալիս գողանալ տվյալները տարբեր բրաուզերներից, կատարել էկրանի արտապատկերումներ, հավաքել համակարգի տեղեկատվությունը, ինչպես նաև ձեռք գցել սեանսների տոկեններն այնպիսի հավելվածներից, ինչպիսիք են Telegram-ը, Discord-ը, Steam-ը և Minecraft-ի չիտ-հավելվածը: Վնասաբերի կոդը նաև պարունակում է Chrome և Edge բրաուզերներում գործընթացներն ավարտելու ֆունկցիոնալություն, ինչը թույլ է տալիս հասանելիություն ստանալ պահպանված տվյալներին և գողանալ դրանք: Նախքան այն վարակված սարքից ջնջելը, հավաքված տեղեկատվությունն ուղարկվում էր չարագործների սերվեր՝ արխիվի տեսքով։

Kaspersky GReAT-ի փորձագետները պարզել են, որ վնասաբեր ԾԱ-ի մշակողը այն վաճառում և տարածում Է Telegram ալիքի միջոցով և բոտի օգնությամբ՝ «վնասաբեր ԾԱ-ն որպես ծառայություն» (Malware-as-a-Service, MaaS) մոդելով: Պարզվել է նաև, որ Jarka-ի սկզբնական կոդը տեղադրվել է GitHub-ում, ինչը ցանկացած օգտատիրոջ թույլ է տալիս ներբեռնել այն։

Դատելով վնասաբեր ԾԱ-ի կոդում և Telegram-ի գովազդում հայտնաբերված լեզվական արտեֆակտներից՝ կարելի է միջին կամ բարձր վստահությամբ ասել, որ վնասաբերն ստեղծել է ռուսալեզու չարագործ։

«Հայտնաբերված արշավն ընդգծում է մատակարարման շղթաների վրա գրոհների հետ կապված շարունակական ռիսկերը: Մշակման գործընթացում բաց սկզբնական կոդով բաղադրիչները ինտեգրելիս կրիտիկական կարևոր է զգուշություն դրսևորելը: Մենք կազմակերպություններին խորհուրդ ենք տալիս ներդնել կոդերի ամբողջականության խիստ ստուգում մշակման բոլոր փուլերում՝ համոզվելու համար, որ արտաքին ծրագրային ապահովումը կամ արտաքին բաղադրիչներն օրինական են ու անվտանգ: Դա հատկապես կարևոր է, երբ ինտեգրվում են նոր տարածում գտած տեխնոլոգիաներ, ինչպիսիք են նեյրոցանցերը»,- մեկնաբանում է Kaspersky GReAT-ի կիբեռանվտանգության փորձագետ Լեոնիդ Բեզվերշենկոն:

«Կասպերսկի» ընկերությունը տեղեկացրել է PyPI-ի վնասաբեր փաթեթների մասին, ինչից հետո դրանք հեռացվել են: Ընկերությունը շարունակում է հետևել բաց սկզբնական կոդով հարթակներ, ներառյալ՝ PyPI, Jarka-ի և այլ կասկածելի ներբեռնումների հետ կապված ակտիվությանը՝ ԾԱ-ի մատակարարման շղթայի անվտանգությունն ապահովելու համար: