В черговій атаці на ланцюг поставок програмного забезпечення стало відомо, що дві версії популярної бібліотеки штучного інтелекту Python під назвою Ultralytics були скомпрометовані для доставки криптомайнера.
Версії 8.3.41 і 8.3.42 були видалені з репозиторію Python Package Index (PyPI). У новій версії бібліотеки було впроваджено виправлення безпеки, яке “гарантує безпечний процес публікації пакета Ultralytics”.
Мейнтейнер проєкту Гленн Джочер підтвердив на GitHub, що ці дві версії були заражені шкідливим кодом через атаку на процес розгортання в PyPI. Інцидент став відомим після того, як користувачі повідомили про різке збільшення використання ЦП після встановлення бібліотеки — типовий сигнал криптомайнінгу.
Особливості атаки
Одним із найважливіших аспектів цієї атаки є те, що зловмисникам вдалося скомпрометувати середовище збирання проєкту. Вони внесли несанкціоновані зміни вже після завершення етапу перевірки коду. Це призвело до невідповідності між вихідним кодом, опублікованим у PyPI, та тим, що знаходиться у репозиторії GitHub.
“У цьому випадку проникнення в середовище збирання було здійснено через складний вектор атаки, що використовував відому вразливість GitHub Actions Script Injection,” — зазначив Карло Занкі з ReversingLabs. Проблема у файлі ultralytics/actions була виявлена дослідником безпеки Аднаном Ханом, згідно з рекомендаціями, опублікованими в серпні 2024 року.
Потенційна шкода
Ця вразливість дозволяла зловмисникам створювати шкідливі pull-запити для отримання та виконання шкідливого коду на системах macOS і Linux. У цьому випадку pull-запити надходили з акаунта GitHub під назвою openimbot, який стверджує, що пов’язаний із OpenIM SDK.
Бібліотека ComfyUI, яка залежить від Ultralytics, оновила свій менеджер для попередження користувачів, якщо вони використовують одну з уражених версій. Користувачам бібліотеки рекомендується оновитися до останньої версії.
“Схоже, що шкідливий код обмежувався використанням майнера XMRig, і метою була криптодобича,” — сказав Занкі. “Але неважко уявити, яких збитків могло б завдати, якби зловмисники впровадили більш агресивне шкідливе програмне забезпечення, наприклад, бекдори або трояни для віддаленого доступу (RATs).”
Рекомендації для користувачів
- Оновіть бібліотеку Ultralytics до останньої версії.
- Уникайте використання версій 8.3.41 та 8.3.42.
- Перевірте системи на наявність XMRig або інших потенційно небезпечних програм.
- Слідкуйте за подальшими оновленнями безпеки від розробників.
