تم العثور على عامل تعدين العملات المشفرة في إصدارات PyPI
في هجوم آخر على سلسلة توريد البرامج، تم الكشف عن تسمية نسختين من مكتبة بايثون الشهيرة للذكاء الاصطناعي (AI). المتطرفة تم اختراقها لتسليم عامل منجم العملة المشفرة.
الإصدارات 8.3.41 و 8.3.42، تمت إزالتها منذ ذلك الحين من مستودع Python Package Index (PyPI). ا بعد ذلك النسخة الصادرة قدم إصلاحًا أمنيًا “يضمن سير عمل النشر الآمن لحزمة Ultralytics.”
أكد مشرف المشروع، جلين جوشر، على GitHub أن الإصدارين أصيبا عن طريق حقن تعليمات برمجية ضارة في سير عمل نشر PyPI بعد التقارير ظهرت أن تثبيت المكتبة أدى إلى أ ارتفاع حاد في استخدام وحدة المعالجة المركزية، علامة منبهة لتعدين العملات المشفرة.
الجانب الأبرز في الهجوم هو أن الجهات الفاعلة السيئة تمكنت من اختراق بيئة البناء المتعلقة بالمشروع لإدخال تعديلات غير مصرح بها بعد الانتهاء من خطوة مراجعة الكود، مما أدى إلى تناقض في كود المصدر المنشور في PyPI ومستودع GitHub نفسها.
“في هذه الحالة، تم التطفل على بيئة البناء من خلال ناقل أكثر تعقيدًا، من خلال استغلال حقن نصوص برمجية معروفة لـ GitHub Actions،” كارلو زانكي من ReversingLabs قال، كانت إضافة المشكلة في “ultralytics/actions”. تم وضع علامة عليها بواسطة الباحث الأمني عدنان خان، وفقًا لاستشارة صدرت في أغسطس 2024.
قد يسمح هذا لممثل التهديد بصياغة طلب سحب ضار وتمكين استرجاع وتنفيذ الحمولة على أنظمة macOS وLinux. في هذه الحالة، يحذب طلبات نشأت من حساب GitHub المسمى com.openimbot، والتي تدعي أنها مرتبطة بـ أوبن آي إم إس دي كيه.
ComfyUI، الذي يحتوي على Ultralytics كأحد تبعياته، قال لقد قام بتحديث مدير ComfyUI لتحذير المستخدمين إذا كانوا يقومون بتشغيل أحد الإصدارات الضارة. يُنصح مستخدمي المكتبة بالتحديث إلى الإصدار الأحدث.
وقال زانكي: “يبدو أن الحمولة الضارة التي تم تقديمها كانت مجرد أداة تعدين XMRig، وأن الوظيفة الضارة كانت تهدف إلى تعدين العملات المشفرة”. “ولكن ليس من الصعب أن نتخيل التأثير المحتمل والضرر الذي يمكن أن يحدث إذا قررت الجهات الفاعلة في مجال التهديد زرع برامج ضارة أكثر عدوانية مثل الأبواب الخلفية أو أحصنة طروادة للوصول عن بعد (RATs).”
إرسال التعليق