به گفته نگهبانان PyTorch، به توسعه دهندگانی که بیلدهای شبانه PyTorch را بین 25 دسامبر تا 30 دسامبر 2022 نصب کرده اند، توصیه می شود آن را حذف کرده و حافظه پنهان pip خود را پاک کنند تا از شر بسته های مخرب خلاص شوند.
حمله جدید یک روند اخیر را برجسته می کند. حمله زنجیره تامین از یک وابستگی مخرب به PyPi با همان نامی که هر شب با PyTorch ارسال میشود، سرچشمه میگیرد. “از آنجایی که شاخص PyPI اولویت دارد، این بسته مخرب به جای نسخه از مخزن رسمی ما در حال نصب بود. این طراحی به هر کسی امکان میدهد بستهای را با همان نامی که در فهرست شخص ثالث وجود دارد ثبت کند و pip نسخه ای از آن را بهطور پیشفرض نصب میکند.”بسته مخرب، به نام torchtriton، شامل یک باینری است که علاوه بر اطلاعات سیستم مانند نام میزبان، پیکربندی DNS، نام کاربری و محیط پوسته، محتوای /etc/hosts، /etc/passwords، ~/.gitconfig، */.ssh/~، و اولین 1000 فایلی که در فهرست اصلی کاربر به یک سرور خارجی یافت شد را نیز آپلود می کند. اطلاعات تنها زمانی استخراج می شود که کاربر به طور صریح بسته تریتون را به برنامه خود وارد کند.
بیشتر بدانید: https://lnkd.in/eCUBuBYj
