4 декабря была обнаружена вредоносная версия популярной библиотеки искусственного интеллекта ultralytics с кодом загрузчика, который устанавливал коинмайнер XMRig.
Описание
Компрометация среды сборки проекта была осуществлена путем инъекции скрипта GitHub Actions. Были разработаны вредоносные запросы на выгрузку, которые создавали форки репозиториев и внедряли вредоносный код. К счастью, вредоносные запросы были быстро обнаружены и удалены, и была выпущена чистая версия библиотеки, устраняющая уязвимость.
Уязвимость в процессе сборки библиотеки ultralytics позволила злоумышленникам внедрить вредоносный код. Это могло затронуть огромное количество пользователей, так как библиотека имеет множество загрузок и пользуется популярностью на платформе GitHub. Внедрение вредоносного кода произошло после завершения процесса рецензирования кода, и вредоносный код был присутствующим в нескольких версиях библиотеки, что допустило его распространение.
Инъекция скрипта GitHub Actions была использована злоумышленниками для внедрения вредоносного кода. С помощью этой инъекции злоумышленники могут создавать форки репозиториев и создавать pull request с вредоносным кодом в заголовке. Компрометация учетной записи openimbot позволила злоумышленникам создавать вредоносные запросы на выгрузку кода. Учетная запись использовалась для установления удаленного соединения после выполнения вредоносного кода.
Платформа RL Spectra Assure может помочь в быстром обнаружении вредоносного контента и предотвращении подобных атак на цепочку поставок. Анализ поведения файлов между вредоносной и не вредоносной версиями библиотеки позволяет выявить различия и потенциально определить вредоносный код. В данном случае, вредоносный код был обнаружен в файлах downloads.py и model.py. Он предназначался для проверки типа системы, на которой выполняется код, и выполнял загрузку и выполнение полезной нагрузки.
В целом, компрометация среды сборки библиотеки ultralytics привела к распространению вредоносной версии библиотеки, которая содержала загрузчик коинмайнера XMRig. Вредоносный код был внедрен с использованием инъекции скрипта GitHub Actions. Несмотря на быстрое обнаружение и удаление вредоносных запросов, этот инцидент подчеркивает важность безопасности цепочки поставок и необходимость использования средств, способных обнаруживать вредоносный контент.
Indicators of Compromise
SHA1
- 7c6136cf4e857582c2f086673359be94e7e4b702
- bea3060707e6f3fec47aa2af64ea2e774b56e9f5
- dd0577b10e73792f2b2315af63b872fe4123ec9c
- ee304a92a9e68e7923d7a37a370c7556ac596250