В PyTorch обнаружили злонамеренную компрометацию цепочки зависимостей в праздничные дни
В PyTorch обнаружили злонамеренную компрометацию цепочки зависимостей в праздничные дни. Фото: из архива компании
Администраторы PyTorch предупреждают пользователей, которые установили PyTorch-nightly в праздничные дни, чтобы они удалили фреймворк и поддельную зависимость «torchtriton».
В также PyTorch говорят, что в период с 25 по 30 декабря 2022 года пользователи, установившие PyTorch-nightly, должны убедиться, что их системы не были скомпрометированы.
Зависимость «torchtriton», появилась в праздничные дни в реестре Python Package Index (PyPI), официальном репозитории стороннего программного обеспечения для Python.
Из сообщения команды PyTorch:
«Пожалуйста, немедленно удалите его и torchtriton и используйте последние ночные двоичные файлы (новее 30 декабря 2022 года)».
Вредоносная зависимость torchtriton от PyPI имеет общее имя с официальной библиотекой, опубликованной в репозитории PyTorch-nightly. Но при извлечении зависимостей в экосистеме Python PyPI обычно имеет приоритет, в результате чего вредоносный пакет загружается на ваш компьютер вместо законного пакета PyTorch.
Из сообщения команды PyTorch:
«Поскольку индекс PyPI имеет приоритет, этот вредоносный пакет устанавливался вместо версии из нашего официального репозитория. Этот дизайн позволяет кому-то зарегистрировать пакет с тем же именем, что и в стороннем индексе, и pip установить его как версию по умолчанию».
Вредоносная зависимость torchtriton за последнюю неделю превысила 2300 загрузок.
Платформа машинного обучения с открытым исходным кодом PyTorch, от компьютерного зрения до обработки естественного языка, завоевала известность как в коммерческой, так и в академической сферах.
Этот тип атаки на цепочку поставок известен как «путаница с зависимостями». Впервые о нем сообщил в 2021 году этический хакеро Алекс Бирсан.
В PyTorch заявляют, что эта проблема не затрагивает пользователей стабильных пакетов.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было