В PyPI обнаружили еще одну атаку на цепочку поставок. На этот раз компрометации подверглась популярная ИИ-модель Ultralytics YOLO11: в код версий 8.3.41 и 8.3.42 были внедрены майнеры.
Компания Ultralytics специализируется на разработке софта для компьютерного зрения и ИИ (в частности для обнаружении объектов и обработки изображений).
Компания наиболее известна благодаря своей опенсорсной модели распознавания объектов YOLO (You Only Look Once), которая позволяет быстро обнаруживать и идентифицировать объекты в режиме реального времени. Так, на GitHub библиотека получила более 33 600 звезд и была форкнута свыше 6500 раз, а также ее ежедневно скачивают из PyPI более 260 000 раз.
В конце прошлой недели в PyPi были размещены вредоносные версии Ultralytics (8.3.41 и 8.3.42). Установившие их пользователи (напрямую или в качестве зависимостей), обнаружили, что в коде содержится криптовалютный майнер. В итоге владельцы аккаунтов Google Colab оказались заблокированы из-за «злоупотреблений».
Ultralytics является зависимостью для SwarmUI и ComfyUI, разработчики которых подтвердили, что установки их библиотек приводили к установке майнера. Известно, что после установки скомпрометированная библиотека устанавливала и запускала майнер XMRig (/tmp/ultralytics_runner), который подключался к пулу minin по адресу connect.consrensys[.]com:8080.
Основатель и глава Ultralytics Гленн Йохер (Glenn Jocher) подтвердил, что проблема затронула только две скомпрометированные версии, которые уже были отозваны и заменены чистой версией 8.3.43.
«Мы подтверждаем, что версии Ultralytics 8.3.41 и 8.3.42 были скомпрометированы инъекцией вредоносного кода, направленного на майнинг криптовалюты. Обе версии были немедленно удалены из PyPI, — пишет Йохер на GitHub. — Мы выпустили версию 8.3.43, в которой устранили эту проблему безопасности. Наша команда проводит полный аудит и внедряет дополнительные меры предосторожности для предотвращения подобных инцидентов».
В настоящее время разработчики ищут первопричину взлома и потенциальные уязвимости в среде сборки Ultralytics, чтобы определить, как именно произошла атака. По словам Йохера, компрометация, по всей видимости, связана с двумя вредоносными пул реквестами (1, 2), сделанными пользователем из Гонконга.
При этом до сих пор неясно, ограничивалась ли эта атака только установкой майнера в системы пострадавших, или личные данные пользователей так же могли быть скомпрометированы.
Стоит отметить, что в минувшие выходные снова начали появляться сообщения пользователей о зараженных версиях YOLO в PyPI. То есть атака, похоже, продолжилась и теперь распространяется на версии 8.345 и 8.3.46.
