En otro ataque más a la cadena de suministro de software, salió a la luz que dos versiones de una popular biblioteca de inteligencia artificial (IA) de Python llamada ultralíticos se vieron comprometidos a entregar un minero de criptomonedas.
Las versiones, 8.3.41 y 8.3.42, desde entonces han sido eliminados del repositorio del índice de paquetes de Python (PyPI). un posteriormente versión lanzada ha introducido una solución de seguridad que «garantiza un flujo de trabajo de publicación seguro para el paquete Ultralytics».
El responsable del proyecto, Glenn Jocher, confirmó en GitHub que las dos versiones fueron infectadas por inyección de código malicioso en el flujo de trabajo de implementación de PyPI después informes surgió que la instalación de la biblioteca generó un aumento drástico en el uso de CPUuna señal reveladora de la minería de criptomonedas.
El aspecto más notable del ataque es que los delincuentes lograron comprometer el entorno de compilación relacionado con el proyecto para insertar modificaciones no autorizadas después de completar el paso de revisión del código, lo que generó una discrepancia en el código fuente publicado en PyPI y el repositorio de GitHub. sí mismo.
«En este caso, la intrusión en el entorno de construcción se logró mediante un vector más sofisticado, explotando una conocida inyección de script de acciones de GitHub», Karlo Zanki de ReversingLabs dichoagregar el problema en «ultralíticos/acciones» fue marcado por investigador de seguridad Adnan Khansegún un aviso publicado en agosto de 2024.
Esto podría permitir que un actor de amenazas cree una solicitud de extracción maliciosa y permita la recuperación y ejecución de una carga útil en sistemas macOS y Linux. En este caso, el jalar solicitudes se originó en una cuenta de GitHub llamada pasión abiertaque afirma estar asociado con el SDK de OpenIM.
ComfyUI, que tiene Ultralytics como una de sus dependencias, dicho Ha actualizado el administrador ComfyUI para advertir a los usuarios si están ejecutando una de las versiones maliciosas. Se recomienda a los usuarios de la biblioteca que actualicen a la última versión.
«Parece que la carga maliciosa servida era simplemente un minero XMRig, y que la funcionalidad maliciosa estaba dirigida a la minería de criptomonedas», dijo Zanki. «Pero no es difícil imaginar cuál podría ser el impacto potencial y el daño si los actores de amenazas decidieran plantar malware más agresivo como puertas traseras o troyanos de acceso remoto (RAT)».