DEV Community
·
Ultralytics AI 供应链攻击请求
💡
原文英文,约1300词,阅读约需5分钟。
📝
内容提要
2024年12月4日至7日,Ultralytics遭遇供应链攻击,恶意版本在PyPI发布,含加密货币挖矿功能。攻击分为两个阶段,首次发布版本在12小时内被移除,第二次版本也在数小时后被删除。攻击利用了GitHub Actions的漏洞,导致用户CPU使用率异常高。
🎯
关键要点
- 2024年12月4日至7日,Ultralytics遭遇供应链攻击,分为两个阶段。
- 第一阶段,恶意版本8.3.41和8.3.42在PyPI发布,分别在12小时和1小时后被移除。
- 第二阶段,攻击者直接发布8.3.45和8.3.46版本,分别在8小时和7.5小时后被移除。
- 攻击利用了GitHub Actions的漏洞,导致用户CPU使用率异常高。
- 恶意版本包含加密货币挖矿功能,专门配置用于挖掘门罗币。
- 攻击通过修改*safe_download*和*safe_run*函数注入挖矿程序。
- 用户可通过检查pip安装日志和系统日志来评估是否受到影响。
- Ultralytics是一个广泛用于计算机视觉任务的AI库,多个项目依赖于它。
- 攻击利用了GitHub Actions中的模板注入漏洞,导致恶意代码执行。
- Snyk工具可帮助识别是否使用了受影响的Ultralytics版本,增强安全性。
🏷️
标签
➡️
