Šta se desilo?

Napadači su objavili zlonamernu verziju popularne Python biblioteke PyTorch Lightning na zvaničnom PyPI repozitorijumu. Zaraženi paket sadrži malvер koji krade kredencijale iz pretraživača, datoteka okruženja i pristupnih tokena za云 servise korisnika koji ga instaliraju.

Koga pogađa?

Riziku su izloženi programeri i istraživači koji koriste PyTorch Lightning za razvoj modela mašinskog učenja. Pogođeni su oni koji su slučajno preuzeli zlonamernu verziju sa PyPI-ja, kao i sve organizacije čiji zaposlenici koriste taj paket. Ugroženi su takođe korisnici云 servisa poput AWS-a, Google Cloud-a i ostalih platformi čiji su kredencijali čuvani lokalno.

Kako se zaštititi?

  • Odmah proverite koje verzije PyTorch Lightning paketа ste instalirali korišćenjem komande pip show pytorch-lightning
  • Pregledate istoriju instalacija i verzija koje ste koristili u poslednje vrijeme
  • Ako ste instalirali sumnjive verzije, pokrenite антивирусни skener na sistemu
  • Rotnirajte sve kredencijale, API ključeve i cloud pristupne tokene koji su čuvani lokalno na mašini
  • Aktivirajte двофакторsku autentifikaciju na cloud servisima i važnim nalozima
  • Ažurirajte PyTorch Lightning na zvaničnu verziju direktno sa repozitorijuma PyPI
  • Pratite PyPI i oficijalne PyTorch Lightning kanale za upozorenja o kompromitovanju paketa

Tehnički detalji

Malvер koristi standardne tehnike krađe podataka - pretraživanje specifičnih direktorijuma za datoteke sa kredencijalima, čitanje okruženja koje sadrži API ključeve i pristupne tokene, te hvatanje informacija o pretraživačima. Napadač je uspeo da izbegne inicijalne sisteme za detekciju publikovanjem kroz legitimne PyPI kanale.

Preporuka Sajber Radara

Programeri moraju da budu izuzetno oprezni pri instalaciji paketa iz javnih repozitorijuma. Preporučujemo redovnu proveru zvaničnih saopštenja projekata koji vas zanimaju i verifikaciju integriteta paketa pre nego što ih implementirate u produkciju.