Bilgisayar korsanı olduğu iddia edilen bir kişi, Python’daki PyTorch makine öğrenimi projesine kötü amaçlı bir ikili dosya ekledi ve ardından bunun kasıtlı olmadığını açıkladı. İkili dosya, diğer verilerin yanı sıra kullanıcı adını, ortam değişkenlerini, bir parola karma listesini ve kullanıcının ana dizinindeki ilk 1000 dosyayı herkesin kodunu çözmesi için ifşa etme potansiyeline sahipti.
bu şu anda bilinmeyen saldırgan Bağımlılık karışıklığı sorunlarını araştıran bir araştırmacı olduklarını savundu ve açıkladı.
Python’a bulaştığı iddia edilen siber saldırının ayrıntıları
Saldırgan, özel depodan yüklenen bir yazılım paketinin adı olan “torchtriton” adını kullandığından ve kötü amaçlı paket PyPI deposunda bulunduğundan, resmi depodaki pakete göre öncelikli olarak yüklendi.
‘Torchtriton’ adı saldırgan tarafından kötü niyetli olarak kullanılmış ve paketin Python Paket Dizininde genellikle PyTorch’ta kullanılan işlevlerle kullanılması. Bu, diğer kullanıcıların verilerinin geçersiz olmayan başka bir alandaki bir sunucuya yüklenmesine yol açtı.
Bir danışma belgesinde PyTorch ekibi, kullanıcıları 25 ve 30 Aralık tarihleri arasında Linux’ta yüklü olan PyTorch’u her gece pip aracılığıyla kaldırmaya çağırdı. Ayrıca onlardan torchtriton’u kaldırıp 30 Aralık 2022’den daha yeni olan en son gecelik ikili dosyalarla değiştirmelerini istediler. Bunlar:
- $ pip3 kaldırma -y meşale torçvizyon torçses torçtriton
- $ pip3 önbellek temizleme
Danışma belgesi, kullanıcıları tedarik zinciri saldırısı hakkında bilgilendirdi ve bunun genel paket dizinlerindeki paketler için bağımlılıkları etkilediğini ekledi. Ancak, PyTorch kararlı paketlerindekiler, kötü niyetli bağımlılık paketi torchtriton’dan etkilenmedi.
Kötü amaçlı ikili dosyanın ayrıntıları
- Kötü amaçlı ikili dosya şu adrese yüklendi: PYTHON_SITE_PACKAGES/triton/runtime/triton
- SHA256 karması şuydu: SHA256(triton)=2385b29489cd9e35f92c072780f903ae2e517ed422eae67246ae50a5cc738a0e
- Ad sunucuları, ana bilgisayar adları, kullanıcı adları, çalışma dizin adları ve ortam değişkenleri dahil olmak üzere sistem verilerini toplama yeteneğine sahipti.
- Diğer dosyalar arasında /etc/hosts ve /etc/passwd dosyalarına da erişebilir.
- Çalınan bilgileri şifrelenmiş DNS sorguları yoluyla artık kullanılmayan *.h4ck dosyasına yükleyebiliyordu.[.]wheezy kullanarak cfd alanı[.]ıo DNS sunucusu.
Hacker olduğu iddia edilen kişi ne dedi?
Hacker olduğu iddia edilen kişi bir tweet’te, suçlu olsalardı verileri en yüksek teklifi verene satacaklarını söyleyerek kendilerini savundu. Hatta güvenlik açığını 29 Aralık’ta Facebook’a ve birkaç kez şirketin kendisine bildirdiklerine açıklık getirdiler.
Kesinti için özür dileyen tweet, niyetleri kötü niyetli olsalardı asla bir hata ödülü raporu açmayacaklarını okudu.
Araştırmacılar şüpheci olmaya devam ediyor sanığın gerçekliği hakkında.- “Bu nasıl bir “yanlış alarm”? Bu kötü amaçlı yazılım kasıtlı olarak verilerinizi çalar… ve şifrelenmemiş olarak (AES-256-GCM, sabit kodlu bir anahtar ve IV ile) karıştırılmış olarak iletir, böylece ağ yolunuz üzerinde onu kaydeden herkes önemsiz bir şekilde kodunu çözebilir.” yanıtladı Paul Ducklinbiyografisi onu “tutkulu bir güvenlik propagandası” olarak tanımlıyor.