Detectan un minero de criptomonedas en la biblioteca de IA de Ultralytics en PyP

Un nuevo ataque a la cadena de suministro de software ha comprometido dos versiones de la biblioteca de inteligencia artificial (IA) de Python, Ultralytics, para incluir un minero de criptomonedas. Las versiones afectadas, 8.3.41 y 8.3.42, ya han sido eliminadas del repositorio Python Package Index (PyPI), y se ha lanzado una actualización con una corrección de seguridad para garantizar un flujo de trabajo de publicación seguro.

¿Cómo ocurrió el ataque?

El mantenedor del proyecto, Glenn Jocher, confirmó que las versiones comprometidas resultaron de una inyección de código malicioso en el flujo de trabajo de implementación de PyPI. Este incidente se detectó cuando usuarios informaron un aumento anormal en el uso de CPU, un síntoma típico de la minería de criptomonedas.

El ataque comprometió el entorno de compilación del proyecto, permitiendo que actores maliciosos insertaran modificaciones no autorizadas después de la revisión del código. Esto generó discrepancias entre el código fuente publicado en PyPI y el repositorio oficial en GitHub.

Método utilizado: Inyección en GitHub Actions

Según Karlo Zanki, de ReversingLabs, los atacantes aprovecharon una vulnerabilidad en el flujo de trabajo de GitHub Actions asociado con el proyecto. La falla, identificada en "ultralytics/actions" por el investigador de seguridad Adnan Khan, permitió a los atacantes enviar solicitudes de incorporación de cambios maliciosas desde una cuenta de GitHub llamada openimbot. Estas solicitudes habilitaban la recuperación y ejecución de cargas útiles en sistemas macOS y Linux.

Impacto y medidas de mitigación

Aunque en este caso el código malicioso solo incluía un minero XMRig, Zanki advierte que el ataque podría haber sido mucho más perjudicial si se hubieran implementado malware más agresivos, como puertas traseras o troyanos de acceso remoto (RAT).

Como respuesta, ComfyUI, una herramienta que depende de Ultralytics, ha implementado advertencias para alertar a los usuarios si ejecutan versiones comprometidas. Se insta a los desarrolladores y usuarios a:

• Actualizar inmediatamente a la última versión de la biblioteca Ultralytics.
• Implementar entornos de compilación más seguros para prevenir inyecciones maliciosas en el futuro.
• Revisar cuidadosamente las dependencias de terceros para evitar riesgos en la cadena de suministro.

En fin, este incidente subraya la importancia de fortalecer la seguridad en los flujos de trabajo de implementación y la necesidad de monitorear continuamente las dependencias en proyectos de código abierto. Mantener bibliotecas actualizadas y aplicar prácticas de seguridad proactivas son medidas esenciales para protegerse contra amenazas emergentes en la cadena de suministro.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta