軟體供應鏈資安事故頻傳,上週有JavaScript軟體開發套件Solana Web3.js遭駭的情況,導致有部分開發人員的加密貨幣資產遭竊,如今又有類似的資安事故出現。
12月5日電腦工程博士Furkan Gözükara提出警告,擁有數百萬用戶的PyPI套件Ultralytics被入侵,導致用戶的環境被用於挖掘加密貨幣,由於此套件被用於訓練名為YOLO(You Only Look Once)的模型,因此已有許多用戶的Google Colab帳號,因出現濫用跡象而被停權。
物件偵測模型YOLO是由Ultralytics公司所開發的,號稱能即時且準確地偵測及識別串流影片當中的物件。而這次遭到攻擊的PyPI套件,全名是Ultralytics YOLO11,內建最新版本的YOLO模型,以及多種新增與改善功能,於GitHub得到超過3.3萬個星號、被複製、引用(fork)6,500次,並在一天之內就被下載超過26萬次。
根據資安新聞網站Bleeping Computer的報導,有問題的8.3.41、8.3.42版Ultralytics套件是在5日上傳,一旦開發人員的電腦套用,就會一併被植入挖礦軟體,若是開發人員透過Google Colaboratory(Colab)建置這種被摻入惡意程式的開發環境,就有可能因為當中執行挖礦軟體而導致Colab帳號遭禁用。
由於Ultralytics也是SwarmUI和ComfyUI的相依性套件,這兩款套件的開發者也證實,若是使用者全新部署相關程式庫,就有可能導致開發環境被植入挖礦軟體。
Ultralytics創始人暨執行長Glenn Jocher證實此事,並表示他們已提供8.3.43版因應。該公司也在察覺此事後,隨即將有問題的版本下架,並表示他們的團隊正進行完整的資安稽核,以及導入進行防護措施,來避免類似事故再度發生。
對於攻擊的來源,Glenn Jocher透露很有可能來自香港。但究竟駭客的目的為何,是否洩露使用者的資料,目前仍不清楚。
值得留意的是,這起事故似乎尚未結束,12月8日,有使用者發現新的惡意版本8.3.45、8.3.46版上架到PyPI,若是不慎安裝,開發環境會被植入挖礦軟體。
熱門新聞
2025-01-06
2025-01-07
2025-01-08
2025-01-06
2025-01-07
