最近针对开发人员的攻击发现了两个假Python包，gptplus和claudeai-eng。这些包被设计成访问OpenAI的ChatGPT和Anthropic的Claude api的合法工具。

　　这些软件包不提供免费的API访问，而是传播JarkaStealer，这是一种窃取受害者敏感信息的恶意软件。这一事件凸显了开源生态系统的危险，以及伪装成有用工具的恶意软件日益增长的风险。

　　像ChatGPT和Claude这样的生成式人工智能工具具有革命性Nised coding, co内容创造和问题解决。它们已经变得非常受欢迎，尤其是那些希望将AI集成到他们的应用程序中的开发人员。

　　然而，这些工具的高级访问通常需要付费，这为恶意行为者提供“免费”替代品打开了大门。

　　gptplus和claudeai-eng这两个假包是通过PyPI（一个受信任的Python存储库）分发的。他们声称提供免费访问强大的人工智能工具，如GPT-4 Turbo和Claude。不幸的是，他们秘密地发布了JarkaStealer恶意软件，目标是下载它们的开发者。

　　这些假包裹被巧妙地设计成合法的样子。o安装后，它们提供了基本功能的版本，模仿ChatGPT的演示版本，这有助于欺骗用户认为这些工具是真实的。

　　但是在这个假象之下，包部署了一个Java归档（JAR）文件包含JarkaStealer，一种信息窃取恶意软件。

　　JarkaStealer是一种低成本的恶意软件，通常在暗网上以低至20美元的价格出售。虽然它的源代码在GitHub上是免费的，但攻击者经常购买pre-co配置版本，使恶意软件更有效。JarkaStealer以以下内容而闻名：

　　数据漏出:它窃取敏感数据，包括保存的密码按键和自动填充信息。会话劫持：它可以从Telegram、Discord和Steam等流行应用程序中捕获令牌。监测:它截取受害者桌面的截图，为攻击者提供补充部分公司ntext一关于他们的活动。跨平台：它针对Windows和Linux系统，增加了影响。虽然不是最复杂的恶意软件，但JarkaStealer因其可负担性和有效性而广受欢迎。

　　这些假软件包在PyPI上隐藏了一年多，在30多个国家累积了1700多次下载。包裹仍然隐藏着，毫无防备继续传播恶意软件。

　　有趣的是，gptplus的下载量激增，这可能是由于攻击者使用了人为的膨胀策略，使软件包看起来更值得信赖。Claudeai-eng获得了更多自然下载量，特别是那些对整合AI工具感兴趣的开发者。

　　这些统计数据揭示了攻击者如何操纵人们对合法性的认知，利用人们对PyPI等开源平台的信任。

　　这次攻击提醒了我们保护开源生态系统的挑战。在提供优质服务的同时便利性和灵活性，开源存储库往往容易被利用。随着越来越多的开发人员和组织依赖这些平台，恶意软件传播的风险也在增加。

　　为了保证安全，开发者和组织必须采取积极的措施：

　　验证包裹合法性：经常检查有信誉的作者，经常更新，并在下载软件包之前进行社区审查。警惕新的或糟糕的文档表示“状态”的工具。使用安全工具：像这样的工具ntype Nexus、Snyk和Dependabot可以帮助检测恶意或易受攻击的依赖项。安全培训:定期对团队进行培训关于可疑包裹的危险，比如不寻常的名字，模糊的地址脚本，或最近发布的信息有限的工具。采用零信任方法：有限公司ntinuously莫监控软件依赖关系，并维护详细的软件物料清单（SBOM），以跟踪所有项目组件。保持通知:遵循PyPI的安全建议，并使用PyPI的RSS提要或社区论坛等工具来保持更新艾德，新的威胁。开发人员、组织和网络安全专业人员各国必须保持警惕，积极防范此类威胁。通过培养一种安全意识文化，应用强大的保障措施，并跟上新出现的威胁，我们可以防止生成式人工智能的前景被剥削所掩盖。所以，下次当你发现一个“好得令人难以置信”的工具时，记住：免费可能会让你付出比你想象的更多的代价。

　　随时更新以下网络安全更新：

　　暗网是怎么做到的nitoring工作吗?给技术人员的简单指南

　　你知道吗？关于浏览器指纹识别？改变游戏规则的人在线跟踪

　　CERT-In更新：保证你的安卓和苹果设备的安全

　　https://techgig.com/generateHttpWebService-v2.php?tgtype=SAVE_NEWS_READ_LOGS&news_id=115901245&news_title=Fake ChatGPT和Claude API恶意软件包威胁开发者的开源生态系统s&news_sec=Technology&tags=假冒Python软件包，软件依赖监控，PyPI安全问题，开源安全，伪装成工具的恶意软件，JarkaStealer，开发者面临风险，数据泄露，Claude API, ChatGPT API，&news_url=https://content.techgig.com/technology/fake-chatgpt-and-claude-api-packages-threaten-open-source-ecosystem-for-developers/articleshow/115901245.cms&ppuserinfo=