خانه » رجیستری PyPI پایتون مورد حمله زنجیره تامین، دیگری قرار می گیرد
نگهبانان چارچوب یادگیری ماشین منبع باز PyTorch هشدار می دهند که مهاجمان ناشناس بسته ای را در رجیستری پایتون PyPI به خطر انداخته اند و یک باینری مخرب به آن تزریق کرده اند.
بسته torchtriton به خطر افتاده ،است که بخشی از زبان Triton و کامپایلر است که برای نوشتن اصول اولیه یادگیری عمیق سفارشی استفاده می شود.
نگهبانان PyTorch گفتند که وابستگی به خطر افتاده بر انتشار شبانه کد آنها تأثیر می گذارد، اما بسته های پایدار را تحت تأثیر قرار نمی دهد.
وابستگی torchtriton به خطر افتاده می تواند اطلاعات سیستم مانند سرورهای نام، نام کاربری ثبت شده، دایرکتوری کاری و متغیرهای محیط سیستم عامل را جمع آوری کند.
همچنین سیستم و فایلهای موجود در فهرست اصلی کاربر را میخواند و اطلاعات را از طریق پرسوجوهای سیستم نام دامنه رمزگذاریشده (DNS) روی سروری که توسط مهاجم کنترل میشود آپلود میکند.
بسته torchtriton به عنوان یک وابستگی برای PyTorch با pytorch-triton جایگزین شده است و یک باینری ساختگی در PyPI ثبت شده است تا از تکرار مشکل جلوگیری شود.
به گفته فروشنده امنیتی Snyk، بسته torchtriton به طور متوسط بیش از 2700 بار در هفته دریافت می کند و به عنوان یک وابستگی محبوب در نظر گرفته نمی شود.
PyTorch گفت که با تیم امنیتی PyPI تماس گرفته است تا مالکیت torchtriton و حذف نسخه مخرب را بدست آورد.
رجیستری PyPI در چند سال گذشته با تزریق کد مخرب چندین حمله زنجیره تامین را متحمل شده است.