Ultralytics AI 供应链攻击请求

Ultralytics AI 供应链攻击请求

💡 原文英文,约1300词,阅读约需5分钟。
📝

内容提要

2024年12月4日至7日,Ultralytics遭遇供应链攻击,恶意版本在PyPI发布,含加密货币挖矿功能。攻击分为两个阶段,首次发布版本在12小时内被移除,第二次版本也在数小时后被删除。攻击利用了GitHub Actions的漏洞,导致用户CPU使用率异常高。

🎯

关键要点

  • 2024年12月4日至7日,Ultralytics遭遇供应链攻击,分为两个阶段。

  • 第一阶段,恶意版本8.3.41和8.3.42在PyPI发布,分别在12小时和1小时后被移除。

  • 第二阶段,攻击者直接发布8.3.45和8.3.46版本,分别在8小时和7.5小时后被移除。

  • 攻击利用了GitHub Actions的漏洞,导致用户CPU使用率异常高。

  • 恶意版本包含加密货币挖矿功能,专门配置用于挖掘门罗币。

  • 攻击通过修改*safe_download*和*safe_run*函数注入挖矿程序。

  • 用户可通过检查pip安装日志和系统日志来评估是否受到影响。

  • Ultralytics是一个广泛用于计算机视觉任务的AI库,多个项目依赖于它。

  • 攻击利用了GitHub Actions中的模板注入漏洞,导致恶意代码执行。

  • Snyk工具可帮助识别是否使用了受影响的Ultralytics版本,增强安全性。

🔎

延伸解读

供应链攻击的影响

Ultralytics的供应链攻击不仅影响了其自身的用户,还可能波及依赖该库的多个项目。由于Ultralytics广泛应用于计算机视觉任务,受影响的项目如ComfyUI和Roboflow等,可能面临安全风险和性能问题。开发者需及时检查其项目依赖,确保未使用受影响的版本。

如何评估受影响程度

用户可以通过检查pip安装日志和系统日志来评估是否受到Ultralytics恶意版本的影响。特别是在攻击发生的时间窗口内,关注CPU使用率异常的情况,及时采取措施以防止潜在的安全隐患。

GitHub Actions的安全性

此次攻击利用了GitHub Actions中的模板注入漏洞,提醒开发者在使用CI/CD工具时需加强安全配置。确保不使用不受信任的外部贡献者的代码,并定期审查工作流配置,以降低被攻击的风险。

延伸问答

Ultralytics供应链攻击的时间是什么时候?

攻击发生在2024年12月4日至7日之间。

Ultralytics遭遇的攻击是如何进行的?

攻击分为两个阶段,利用了GitHub Actions的漏洞,发布了恶意版本并注入了加密货币挖矿功能。

用户如何检查自己是否受到Ultralytics攻击的影响?

用户可以检查pip安装日志和系统日志,查看是否有异常的CPU使用情况。

Ultralytics恶意版本包含什么功能?

恶意版本包含加密货币挖矿功能,专门配置用于挖掘门罗币。

如何使用Snyk工具来增强Ultralytics的安全性?

用户可以使用Snyk工具扫描项目,识别是否使用了受影响的Ultralytics版本。

Ultralytics库的主要用途是什么?

Ultralytics是一个广泛用于计算机视觉任务的AI库,多个项目依赖于它。

🏷️

标签

➡️

继续阅读