При поредната атака по веригата за доставки на софтуер стана ясно, че две версии на популярна библиотека за изкуствен интелект на Python, наречена ultralytics, са били компрометирани, за да доставят миньор за криптовалута.
Версиите, 8.3.41 и 8.3.42, междувременно са били премахнати от хранилището Python Package Index (PyPI). В последствие пуснатата версия е въвела поправка на сигурността, която „осигурява сигурен работен процес на публикуване за пакета Ultralytics“.
Поддържащият проекта Глен Йохер потвърди в GitHub, че двете версии са били заразени чрез инжектиране на зловреден код в работния процес на разполагане в PyPI, след като се появиха съобщения, че инсталирането на библиотеката води до драстично повишаване на използването на процесора, което е показателен знак за добив на криптовалута.
Най-забележителният аспект на атаката е, че лошите са успели да компрометират средата за изграждане, свързана с проекта, за да вмъкнат неоторизирани модификации след приключване на етапа на преглед на кода, като по този начин са довели до разминаване в изходния код, публикуван в PyPI, и в самото хранилище GitHub.
„В този случай проникването в средата за изграждане е постигнато чрез по-сложен вектор, като е използвана познатата GitHub Actions Script Injection“, казва Карло Занки от ReversingLabs, като добавя, че проблемът в „ultralytics/actions“ е бил отбелязан от изследователя по сигурността Аднан Хан, според консултация, публикувана през август 2024 г.
Това би могло да позволи на заплахата да изготви злонамерена заявка за изтегляне и да даде възможност за извличане и изпълнение на полезен товар в системите MacOS и Linux. В този случай заявките за изтегляне произхождат от акаунт в GitHub с име openimbot, който твърди, че е свързан с OpenIM SDK.
ComfyUI, който има Ultralytics като една от своите зависимости, заяви, че е актуализирал ComfyUI мениджъра, за да предупреждава потребителите, ако използват една от злонамерените версии. На потребителите на библиотеката се препоръчва да актуализират до най-новата версия.
„Изглежда, че обслужваният злонамерен полезен товар е просто XMRig миньор и че злонамерената функционалност е била насочена към добив на криптовалути“, каза Занки. „Но не е трудно да си представим какво може да бъде потенциалното въздействие и щетите, ако заплахите решат да заложат по-агресивен зловреден софтуер като задни врати или троянски коне за отдалечен достъп (RAT).“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.