Başka bir yazılım tedarik zinciri saldırısında, ultralytics adlı popüler Python yapay zeka (AI) kütüphanesinin iki versiyonunun, bir kripto para madencisi sunmak üzere ele geçirildiği ortaya çıktı.
8.3.41 ve 8.3.42 sürümleri o zamandan beri Python Paket Dizini (PyPI) deposundan kaldırıldı. Daha sonra yayımlanan bir sürüm, “Ultralytics paketi için güvenli yayın iş akışını sağlayan” bir güvenlik düzeltmesi sundu.
Proje sorumlusu Glenn Jocher, kitaplığın kurulumunun CPU kullanımında ciddi bir artışa yol açtığına dair raporların ortaya çıkmasının ardından, iki sürümün de PyPI dağıtım iş akışındaki kötü amaçlı kod enjeksiyonundan etkilendiğini GitHub’da doğruladı; bu, kripto para birimi madenciliğinin açık bir işaretiydi.
Saldırının en dikkate değer yönü, kötü aktörlerin, kod inceleme adımının tamamlanmasının ardından yetkisiz değişiklikler eklemek için projeyle ilgili derleme ortamını tehlikeye atmayı başarması ve böylece PyPI ve GitHub deposunda yayınlanan kaynak kodunda bir tutarsızlığa yol açmasıdır. kendisi.
ReversingLabs’tan Karlo Zanki, “Bu durumda yapı ortamına izinsiz giriş, bilinen bir GitHub Actions Komut Dosyası Enjeksiyonu kullanılarak daha karmaşık bir vektör kullanılarak gerçekleştirildi” dedi ve “ultralytics/actions”daki sorunun güvenlik araştırmacısı Adnan Khan tarafından işaretlendiğini ekledi: Ağustos 2024’te yayınlanan bir tavsiye belgesine göre.
Bu, bir tehdit aktörünün kötü niyetli bir çekme isteği oluşturmasına ve macOS ve Linux sistemlerinde bir yükün alınmasına ve yürütülmesine olanak tanıyabilir. Bu örnekte çekme istekleri, OpenIM SDK ile ilişkili olduğunu iddia eden openimbot adlı bir GitHub hesabından kaynaklandı.
Bağımlılıklarından biri olarak Ultralytics’i kullanan ComfyUI, kötü amaçlı sürümlerden birini çalıştırdıkları takdirde kullanıcıları uyarmak için ComfyUI yöneticisini güncellediğini söyledi. Kütüphane kullanıcılarının en son sürüme güncelleme yapmaları tavsiye edilir.
Zanki, “Sunulan kötü amaçlı yükün yalnızca bir XMRig madenci olduğu ve kötü amaçlı işlevselliğin kripto para birimi madenciliğini hedeflediği görülüyor” dedi. “Ancak tehdit aktörlerinin arka kapılar veya uzaktan erişim truva atları (RAT’lar) gibi daha agresif kötü amaçlı yazılımlar yerleştirmeye karar vermesi durumunda olası etkinin ve hasarın ne olabileceğini hayal etmek zor değil.”