Em mais um ataque à cadeia de suprimentos de software, veio à tona que duas versões de uma popular biblioteca de inteligência artificial (AI) em Python chamada Ultralytics foram comprometidas para entregar um minerador de criptomoedas.
As versões, 8.3.41 e 8.3.42, foram removidas do repositório Python Package Index (PyPI).
Uma versão lançada posteriormente introduziu uma correção de segurança que "garante um workflow de publicação seguro para o pacote Ultralytics."
O mantenedor do projeto, Glenn Jocher, confirmou no GitHub que as duas versões foram infectadas por injeção de código malicioso no workflow de deployment no PyPI, após relatos de que a instalação da biblioteca levava a um aumento drástico no uso da CPU, um sinal revelador de mineração de criptomoedas.
O aspecto mais notável do ataque é que os atores mal-intencionados conseguiram comprometer o ambiente de build relacionado ao projeto para inserir modificações não autorizadas após a conclusão da etapa de revisão de código, levando a uma discrepância no código-fonte publicado no PyPI e no próprio repositório do GitHub.
"Neste caso, a intrusão no ambiente de build foi alcançada por um vetor mais sofisticado, explorando uma conhecida injeção de script no GitHub Actions", disse Karlo Zanki da ReversingLabs, acrescentando que o problema em "ultralytics/actions" foi sinalizado pelo pesquisador de segurança Adnan Khan, de acordo com um advisory lançado em agosto de 2024.
Isso poderia permitir que um ator de ameaças criasse um pull request malicioso e habilitasse a recuperação e execução de um payload em sistemas macOS e Linux.
Neste caso, os pull requests originaram-se de uma conta do GitHub chamada openimbot, que afirma estar associada ao OpenIM SDK.
ComfyUI, que tem Ultralytics como uma de suas dependências, disse que atualizou o ComfyUI manager para alertar os usuários se eles estiverem executando uma das versões maliciosas.
Aconselha-se que os usuários da biblioteca atualizem para a versão mais recente.
"Parece que o payload malicioso servido era simplesmente um minerador XMRig, e que a funcionalidade maliciosa visava a mineração de criptomoedas", disse Zanki.
Mas não é difícil imaginar qual poderia ser o impacto potencial e o dano se os atores de ameaças decidissem plantar malware mais agressivo como backdoors ou trojans de acesso remoto (RATs).
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...