Başka bir yazılım tedarik zinciri saldırısında, popüler bir Python yapay zeka (AI) kütüphanesinin iki versiyonunun adı gün ışığına çıktı: ultralitik bir kripto para madencisini teslim etmek için ele geçirildi.
8.3.41 ve 8.3.42 versiyonları, o zamandan beri kaldırıldı Python Paket Dizini (PyPI) deposundan. Daha sonra bir yayınlanmış sürüm “Ultralytics paketi için güvenli yayın iş akışını sağlayan” bir güvenlik düzeltmesi sundu.
Proje sorumlusu Glenn Jocher, GitHub’da iki sürümün PyPI dağıtım iş akışındaki kötü amaçlı kod enjeksiyonundan etkilendiğini doğruladı. raporlar ortaya çıktı kütüphaneyi kurmanın bir yol açtığı CPU kullanımında ciddi artışkripto para birimi madenciliğinin açık bir işareti.
Saldırının en dikkate değer yönü, kötü aktörlerin, kod inceleme adımının tamamlanmasının ardından yetkisiz değişiklikler eklemek için projeyle ilgili derleme ortamını tehlikeye atmayı başarması ve böylece PyPI ve GitHub deposunda yayınlanan kaynak kodunda bir tutarsızlığa yol açmasıdır. kendisi.
ReversingLabs’tan Karlo Zanki, “Bu durumda, yapı ortamına izinsiz giriş, bilinen bir GitHub Actions Komut Dosyası Enjeksiyonundan yararlanılarak daha karmaşık bir vektör kullanılarak gerçekleştirildi.” söz konususorunun “ultralytics/actions”a eklenmesi şuydu: işaretli güvenlik araştırmacısı tarafından Adnan HanAğustos 2024’te yayınlanan bir tavsiye belgesine göre.
Bu, bir tehdit aktörünün kötü niyetli bir çekme isteği oluşturmasına ve macOS ve Linux sistemlerinde bir yükün alınmasına ve yürütülmesine olanak tanıyabilir. Bu durumda, çekmek istekler adlı bir GitHub hesabından kaynaklandı açıkimbotile bağlantılı olduğu iddia edilen OpenIM SDK’sı.
Bağımlılıklarından biri Ultralytics olan ComfyUI, söz konusu Kötü amaçlı sürümlerden birini çalıştırıyorlarsa kullanıcıları uyarmak için ComfyUI yöneticisini güncelledi. Kütüphane kullanıcılarının en son sürüme güncelleme yapmaları tavsiye edilir.
Zanki, “Sunulan kötü amaçlı yükün yalnızca bir XMRig madenci olduğu ve kötü amaçlı işlevselliğin kripto para birimi madenciliğini hedeflediği görülüyor” dedi. “Ancak tehdit aktörlerinin arka kapılar veya uzaktan erişim truva atları (RAT’lar) gibi daha agresif kötü amaçlı yazılımlar yerleştirmeye karar vermesi durumunda olası etkinin ve hasarın ne olabileceğini hayal etmek zor değil.”
