Egy ellátási lánc támadás során kiderült, hogy az ultralytics nevű népszerű Python mesterséges intelligencia (AI) könyvtár két verzióját kompromittálták, annak érdekében, hogy egy kriptovaluta-bányász programot telepítsenek az áldozatok gépén. A 8.3.41 és 8.3.42 verziókat azóta eltávolították a Python Package Index (PyPI) tárhelyéről. Az ezt követően kiadott verzió már tartalmazza a biztonsági javítást.

A projekt karbantartója, Glenn Jocher, megerősítette a GitHubon, hogy a két verziót rosszindulatú kódbefecskendezés fertőzte meg a PyPI telepítési munkafolyamatában. Ez azután vált nyilvánvalóvá, hogy jelentések érkeztek arról, hogy a könyvtár telepítése drasztikus CPU használat növekedést eredményezett, amely a kriptovaluta bányászat tipikus jele. A támadás legjelentősebb aspektusa, hogy a támadók kompromittálták a projekthez kapcsolódó build-környezetet, és jogosulatlan módosításokat illesztettek be a kódellenőrzési lépés befejezése után. Ez eltérést eredményezett a PyPI-re és a GitHub tárhelyére publikált forráskód között. A kártevő lehetővé teheti egy támadó számára, hogy egy rosszindulatú pull requestet készítsen, melynek segítségével egy payload letöltését és végrehajtását is elindíthatja macOS és Linux rendszereken. A könyvtár felhasználóinak javasolt frissíteni a legújabb verzióra.

(forrás, forrás)