Взломанный пакет PyPI ultralytics поставляет криптовалютный коинмайнер

security IOC

4 декабря была обнаружена вредоносная версия популярной библиотеки искусственного интеллекта ultralytics с кодом загрузчика, который устанавливал коинмайнер XMRig.

Описание

Компрометация среды сборки проекта была осуществлена путем инъекции скрипта GitHub Actions. Были разработаны вредоносные запросы на выгрузку, которые создавали форки репозиториев и внедряли вредоносный код. К счастью, вредоносные запросы были быстро обнаружены и удалены, и была выпущена чистая версия библиотеки, устраняющая уязвимость.

Уязвимость в процессе сборки библиотеки ultralytics позволила злоумышленникам внедрить вредоносный код. Это могло затронуть огромное количество пользователей, так как библиотека имеет множество загрузок и пользуется популярностью на платформе GitHub. Внедрение вредоносного кода произошло после завершения процесса рецензирования кода, и вредоносный код был присутствующим в нескольких версиях библиотеки, что допустило его распространение.

Инъекция скрипта GitHub Actions была использована злоумышленниками для внедрения вредоносного кода. С помощью этой инъекции злоумышленники могут создавать форки репозиториев и создавать pull request с вредоносным кодом в заголовке. Компрометация учетной записи openimbot позволила злоумышленникам создавать вредоносные запросы на выгрузку кода. Учетная запись использовалась для установления удаленного соединения после выполнения вредоносного кода.

Платформа RL Spectra Assure может помочь в быстром обнаружении вредоносного контента и предотвращении подобных атак на цепочку поставок. Анализ поведения файлов между вредоносной и не вредоносной версиями библиотеки позволяет выявить различия и потенциально определить вредоносный код. В данном случае, вредоносный код был обнаружен в файлах downloads.py и model.py. Он предназначался для проверки типа системы, на которой выполняется код, и выполнял загрузку и выполнение полезной нагрузки.

В целом, компрометация среды сборки библиотеки ultralytics привела к распространению вредоносной версии библиотеки, которая содержала загрузчик коинмайнера XMRig. Вредоносный код был внедрен с использованием инъекции скрипта GitHub Actions. Несмотря на быстрое обнаружение и удаление вредоносных запросов, этот инцидент подчеркивает важность безопасности цепочки поставок и необходимость использования средств, способных обнаруживать вредоносный контент.

Indicators of Compromise

SHA1

  • 7c6136cf4e857582c2f086673359be94e7e4b702
  • bea3060707e6f3fec47aa2af64ea2e774b56e9f5
  • dd0577b10e73792f2b2315af63b872fe4123ec9c
  • ee304a92a9e68e7923d7a37a370c7556ac596250
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий