【安全事件】Xinference PyPI遭供应链投毒预警通告
💡
原文中文,约4800字,阅读约需12分钟。
📝
内容提要
绿盟科技CERT监测到开源AI框架Xinference在PyPI遭受供应链攻击,攻击者发布了3个恶意版本(2.6.0、2.6.1和2.6.2),窃取用户敏感数据。建议用户立即降级至安全版本2.5.0并进行全面排查与防护。此事件强调了开源组件的安全审计和供应链安全的重要性。
🎯
关键要点
- 绿盟科技CERT监测到开源AI框架Xinference在PyPI遭受供应链攻击,攻击者发布了3个恶意版本(2.6.0、2.6.1和2.6.2)。
- 恶意版本会窃取用户的敏感数据,包括云凭证、SSH密钥、API令牌等,并发送至攻击者的服务器。
- 建议用户立即降级至安全版本2.5.0,并进行全面排查与防护。
- 此次事件强调了开源组件的安全审计和供应链安全的重要性,呼吁建立常态化的安全审计机制。
- 用户应撤销并轮换所有敏感凭证,开启双因素验证,并定期检查系统日志以防止后续攻击。
❓
延伸问答
Xinference的恶意版本有哪些?
恶意版本包括2.6.0、2.6.1和2.6.2。
用户应该如何处理受影响的Xinference版本?
用户应立即降级至安全版本2.5.0,并进行全面排查与防护。
此次供应链攻击的主要影响是什么?
攻击者窃取用户的敏感数据,包括云凭证、SSH密钥和API令牌等。
如何检查当前安装的Xinference版本?
可以使用命令:pip show xinference | grep Version。
此次事件对开源组件安全有什么启示?
事件强调了开源组件的安全审计和供应链安全的重要性,呼吁建立常态化的安全审计机制。
用户在发现异常后应采取哪些安全措施?
用户应撤销并轮换所有敏感凭证,开启双因素验证,并定期检查系统日志。
➡️
