DEV Community
·
Ultralytics AI 供应链攻击请求
💡
原文英文,约1300词,阅读约需5分钟。
📝
内容提要
2024年12月4日至7日,Ultralytics遭遇供应链攻击,恶意版本在PyPI发布,含加密货币挖矿功能。攻击分为两个阶段,首次发布版本在12小时内被移除,第二次版本也在数小时后被删除。攻击利用了GitHub Actions的漏洞,导致用户CPU使用率异常高。
🎯
关键要点
- 2024年12月4日至7日,Ultralytics遭遇供应链攻击,分为两个阶段。
- 第一阶段,恶意版本8.3.41和8.3.42在PyPI发布,分别在12小时和1小时后被移除。
- 第二阶段,攻击者直接发布8.3.45和8.3.46版本,分别在8小时和7.5小时后被移除。
- 攻击利用了GitHub Actions的漏洞,导致用户CPU使用率异常高。
- 恶意版本包含加密货币挖矿功能,专门配置用于挖掘门罗币。
- 攻击通过修改*safe_download*和*safe_run*函数注入挖矿程序。
- 用户可通过检查pip安装日志和系统日志来评估是否受到影响。
- Ultralytics是一个广泛用于计算机视觉任务的AI库,多个项目依赖于它。
- 攻击利用了GitHub Actions中的模板注入漏洞,导致恶意代码执行。
- Snyk工具可帮助识别是否使用了受影响的Ultralytics版本,增强安全性。
❓
延伸问答
Ultralytics供应链攻击的时间是什么时候?
攻击发生在2024年12月4日至7日之间。
Ultralytics遭遇的攻击是如何进行的?
攻击分为两个阶段,利用了GitHub Actions的漏洞,发布了恶意版本并注入了加密货币挖矿功能。
用户如何检查自己是否受到Ultralytics攻击的影响?
用户可以检查pip安装日志和系统日志,查看是否有异常的CPU使用情况。
Ultralytics恶意版本包含什么功能?
恶意版本包含加密货币挖矿功能,专门配置用于挖掘门罗币。
如何使用Snyk工具来增强Ultralytics的安全性?
用户可以使用Snyk工具扫描项目,识别是否使用了受影响的Ultralytics版本。
Ultralytics库的主要用途是什么?
Ultralytics是一个广泛用于计算机视觉任务的AI库,多个项目依赖于它。
🏷️
标签
➡️
