ISGroup Cybersicherheitsberatung

Ultralytics AI-Bibliothek von Supply-Chain-Angriff betroffen

Ultralytics, eine weit verbreitete KI-Bibliothek mit über 60 Millionen Downloads auf PyPI, wurde Opfer eines raffinierten Supply-Chain-Angriffs. Cybersicherheitsforscher von ReversingLabs enthüllten den Angriff am 4. Dezember und erklärten, dass die schädliche Version (8.3.41) der Bibliothek darauf ausgelegt war, den Kryptowährungs-Miner XMRig zu verbreiten. Die Angreifer nutzten eine Script-Injection-Schwachstelle in GitHub Actions aus, um die Build-Umgebung zu kompromittieren.

Datum11.12.2024 16:21:13
Informationen
  • Fix verfügbar
  • Aktive Ausnutzung

Technische Zusammenfassung

Der Angriff wurde über eine Schwachstelle in GitHub-Actions-Skripten ausgeführt, die die willkürliche Ausführung von Code in der Build-Umgebung ermöglichte. Die Angreifer nutzten ein GitHub-Konto namens openimbot, um bösartige Pull Requests mit eingebetteten Payloads in den Branch-Namen zu initiieren.

Wichtige Schritte des Angriffs:

  • Kompromittierung der Umgebung: Die Angreifer umgingen die Code-Review-Prozesse, um Downloader-Code für XMRig direkt in die Build-Pipeline einzuschleusen.

  • Injektion von Schadcode: Wichtige Dateien wie downloads.py und model.py wurden modifiziert, um plattformspezifische Mechanismen zur Bereitstellung des Payloads zu enthalten.

  • Ausführung des Payloads: Der injizierte Code lud den Kryptowährungs-Miner XMRig herunter und führte ihn aus, wodurch die Ressourcen der Opfer für das Krypto-Mining missbraucht wurden.

Der erste Versuch zur Schadensbegrenzung schlug fehl. Die Version 8.3.42, die am 5. Dezember als „sicheres“ Update veröffentlicht wurde, enthielt denselben Schadcode wie die Version 8.3.41. Das Problem wurde erst später am selben Tag mit der Version 8.3.43 behoben.

Empfehlungen

  • Updates anwenden: Aktualisieren Sie auf Version 8.3.43 oder höher, um den Schadcode zu entfernen.
  • Build-Pipelines absichern: Überprüfen und schützen Sie CI/CD-Workflows gegen Schwachstellen vom Typ Script Injection.
  • Abhängigkeiten überwachen: Führen Sie regelmäßige Audits der Bibliotheken auf unerwartete Updates oder unbefugte Änderungen durch.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *