Méfiance : Malware infecte les librairies ChatGPT et Claude

Des développeurs se sont retrouvés piégés par un malware en essayant d'intégrer ChatGPT et Claude à leurs projets via des API gratuites trouvées sur PyPI. Pendant plus d'un an, deux packages Python se faisant passer pour des API officielles ont été distribués sur PyPI, promettant l'accès à des modèles avancés comme GPT-4 Turbo. En réalité, ces packages étaient infectés par un logiciel malveillant nommé JarkaStealer, capable de voler des données sensibles des navigateurs, des captures d'écran, des jetons de session, etc. Plus de 1700 téléchargements dans plus de 30 pays ont été enregistrés, principalement aux États-Unis, mais les chiffres ont été probablement gonflés artificiellement. Les développeurs étaient trompés par le bon fonctionnement apparent des packages, alors que le malware s'installait en arrière-plan. Les modérateurs de PyPI ont fini par supprimer les packages toxiques après l'alerte de Kaspersky. Cependant, cette attaque souligne la nécessité pour les développeurs de rester vigilants face aux menaces qui ciblent spécifiquement les acteurs de l'IA générative. La prudence reste de mise, car le code source du malware est toujours accessible publiquement.