聚焦源代码安全,网罗国内外最新资讯!
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
Ultralytics 是一家软件开发公司,专注于计算机视觉和人工智能,尤其擅长物体检测和图片处理。该公司尤其以其“YOLO (You Only Look Once)”的高阶物体检测模型为人熟知,该模型能够实时从视频流中迅速准确地检测和识别物体。Ultralytics 工具是开源的,应用于大量行业和应用的无数项目中。该库在 GitHub 上的标星次数已达到3.36万次并被分叉6500次,单在过去24小时内从PyPI 平台的下载量就超过26万次。
上周五,Ultralytics 8.3.41和8.3.42版本在 PyPI 平台发布。直接安装或将这两个版本作为依赖安装的用户发现,设备上被部署了一款密币挖矿机。而Google Colab 账户的所有人因“滥用行为”而被标记和被禁。
Ultralytics 是SwarmUI 和 ComfyUI 的依赖,二者均证实称安装了这两个版本的用户导致挖矿机被安装。安装时,受陷库会在 '/tmp/ultralytics_runner'处安装并启动XMRig 挖矿机,并连接到 "connect.consrensys[.]com:8080" 处的一个矿池。
Ultralytics 公司的创始人兼CEO Glenn Jocher 证实称,该问题仅影响这两个受陷版本,而它们已经以干净的8.3.43版本取而代之。该公司提到,“我们已经发布8.3.43版本修复该安全问题。我们团队正在开展完整的安全审计并执行其它防御措施,阻止类似安全事件的发生。”
目前,开发人员正在调查该事件的根因以及位于Ultralytics 构建环境中的潜在漏洞,以判断攻陷方式。然而,Jocher 评论称,攻陷似乎源自有人在一名位于中国香港地区的用户提交的分支名称中注入了两个恶意PR。目前尚不清楚是否是恶意代码执行了密币挖掘或攻陷非公开用户。社区仍然在等待关于这次攻击的正式公告以澄清所有详情。
最新消息称,用户报道称PyPI 上出现了新的木马版本,因此攻击者仍然在继续通过新版本 8.3.45和8.3.46发动攻击。
出于谨慎考虑,下载了Ultralytics 恶意版本的用户应扫描整个系统。
Ultralytics 公司尚未就此置评。
点击“阅读原文”,马上试用开源卫士:https://oss.qianxin.com
Solana 热门 Web3.js npm库有后门,可触发软件供应链攻击
Python、npm和开源生态系统中的入口点可用于发动供应链攻击
NPM恶意包假冒 “noblox.js”,攻陷 Roblox 开发系统
英韩:Lazarus 黑客组织利用安全认证软件 0day 漏洞发动供应链攻击
Okta 支持系统遭攻陷,已有Cloudflare、1Password等三家客户受影响
Okta 结束Lapsus$ 供应链事件调查,称将加强第三方管控
MSI UEFI 签名密钥遭泄漏 恐引发“灾难性”供应链攻击
OilRig APT 组织或在中东地区发动更多 IT 供应链攻击
适用于Kubernetes 的AWS IAM 验证器中存在漏洞,导致提权等攻击
PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh