Redian新闻
>
PyTorch 安装包出问题,官方警告:这些 Linux 用户请立即卸载,否则会遭数据泄漏

PyTorch 安装包出问题,官方警告:这些 Linux 用户请立即卸载,否则会遭数据泄漏

公众号新闻

Alex 羿阁 发自 凹非寺 量子位 | 公众号 QbitAI
“所有在2022年12月25日至12月30日期间,在Linux系统安装了PyTorch-nightly(每日更新版)的用户,请立即卸载!”
上述消息来自PyTorch官方的一则最新声明。
据官方透露,他们刚刚识别出一个与框架的“torchtriton”库同名的恶意依赖项,该依赖项在PyPI代码库上被破坏,并运行恶意二进制文件。
攻击者试图窃取用户IP地址、当前工作目录等敏感数据上传到指定地址,相关恶意代码在从PyPI删除之前已被下载2300+次
不过就在事情一面倒时,攻击者却自己发表了声明,坚称并无恶意,一切只是为了道德研究。
那么——

到底发生了什么?

具体事情是这样的:
攻击者在Python的官方索引库:PyPI (Python Package Index),创建了一个叫“torchtriton”的Python软件包。
为何取这个名字?
当然是故意的。
这样就能和PyTorch本身有的一个包名字相匹配,好比玩起了Cosplay。
然后,由于名字相同,“假torchtriton”就被跟着上传到了PyPI中。
又因为PyPI索引具有优先权,所以假torchtriton就被默认安装到用户的设备上了,而真正的官方版本却被搁置到一旁。
这就是所谓的供应链攻击,在公共软件包索引上,被托管的软件包之间的的依赖关系都受到了直接影响。
不出所料,这个假torchtriton自带一肚子坏水:
它比官方版多了上传敏感数据的代码,还包含一个恶意的triton二进制文件。
一旦被安装在用户设备上,它就可以入侵系统,窃取用户的重要数据,比如:主机名、用户名、系统中的已知用户,以及SSH密钥等。
据悉用户的列表是从/etc/passwd中提取的,幸运的是,它实际上并不包含任何密码或密码哈希值。
至于SSH密钥,这是安全外壳 (SSH)协议中使用的安全访问凭证,也是Linux服务器运维的关键。
有网友指出:
关于SSH密钥,Linux存在一些漏洞,而iOS和Android的安全模型就不会允许Python软件包窃取SSH密钥。
不过,最好的解决方案是实施最小权限原则,不要给程序授予任何不必要的权限。
另外,或许也可以考虑请雇人检查软件包。
用户这边,如果你记不清自己下载的是哪个版本,官方给出了一个检查的办法:
输入以下命令,在torchtriton包(PYTHON_SITE_PACKAGES/triton/runtime/triton)中搜索恶意二进制文件,然后就能看到在当前的Python环境是否受到影响。

事件后续

在官方声明中,PyTorch也提出了他们的解决策略。
PyTorch将“ torchtriton”依赖项重命名为“ PyTorch- triton”,并在PyPI上保留了一个虚拟包,以防止类似的攻击。
同时,官方也发推呼吁在2022年12月25日至12月30日期间下载了恶意版本的用户立即卸载,并使用最新版本。
事情进一步发酵后,有媒体顺藤摸瓜,根据被盗数据传输到的域名,找到了该域名背后的所有者。
公共记录显示,该域名于12月21日刚刚注册,就在Pytorch事件发生的几天前。
据Bleeping Computer消息,这位所有者坚称自己的做法“不是恶意的”,只是为了道德研究,而且所有数据都已删除。
我为此承担责任并道歉。与此同时,我想向你们保证,我无意窃取别人的秘密。
我已经在12月29日(几乎是官方宣布的三天前)在确认漏洞存在后向Facebook报告了这个问题。
我还通过HackerOne向其他可能受到影响的公司提交了报告。
如果我是恶意的,我将永远不会填写任何漏洞赏金报告,而是只把数据出售给出价最高的人。
对于发送许多用户敏感数据的原因,他进一步解释:
在过去调查依赖混淆攻击时,大多数情况下不可能根据受害者的主机名、用户名和CWD来识别他们。
这就是我这次决定发送更多数据的原因,但是回顾过去,这是一个错误的决定,我应该更加谨慎。
对于攻击者的这一说法,目前PyTorch官方还未做出回应。
对这次PyTorch事件,你怎么看?

参考链接:
[1] https://twitter.com/pytorch/status/1609334425384517633

[2] https://www.bleepingcomputer.com/news/security/pytorch-discloses-malicious-dependency-chain-compromise-over-holidays/
[3] https://thehackernews.com/2023/01/pytorch-machine-learning-framework.html
[4]https://news.ycombinator.com/item?id=34202662

END

官方站点:www.linuxprobe.com

Linux命令大全:www.linuxcool.com

刘遄老师QQ:5604241

Linux技术交流群:3762708

(新群,火热加群中……)

想要学习Linux系统的读者可以点击"阅读原文"按钮来了解书籍《Linux就该这么学》,同时也非常适合专业的运维人员阅读,成为辅助您工作的高价值工具书!


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
如何在 Ubuntu 等 Linux 中安装 Python 3.11 | Linux 中国英特尔发布第四代至强可扩展处理器:PyTorch 训练性能提升 10 倍,安装量超 1 亿颗!如何在 Arch Linux 中安装 GNOME 桌面 | Linux 中国实锤了!Weee承认1100万用户数据泄漏,大量美国华人受到“杀猪盘”困扰在 Linux 上试试这个基于 Python 的文件管理器 | Linux 中国“阳”了别慌,居家用药、康复“官方指南”来了!出现这些症状请立即就医——如何在 Arch Linux 中安装 elementary OS 的 Pantheon 桌面 | Linux 中国小心!安省政府警告:别忘更新车牌,否则面临高达$1000刀罚款!黑客入侵!T-Mobile又遭数据泄露,3700万用户资料被盗PyTorch安装包出问题,官方警告:这些Linux用户请立即卸载,否则会遭数据泄漏何时起,“骰子”不读shǎi,改读tóu了?1死3失明!CDC警告:家有这种滴眼液请立即停止使用!钱欲情色,金发梦露Artipie:可用于 Python 的开源仓库管理器 | Linux 中国Arch Linux 2023.01.01 版本 ISO 镜像发布:采用 Linux 内核 6.1俄警告:停手,否则驱逐出境如何在 Arch Linux 中安装 Cinnamon 桌面 | Linux 中国在 VS Code 和 Codium 中编写 Python 程序 | Linux 中国最新!蔚来汽车用户数据泄露,被勒索225万美元比特币!遭用户质疑!如何在 Ubuntu 和 Fedora 中设置 Python 开发环境 | Linux 中国中疾控发布全国新冠感染情况,电车车主称春运时间翻倍,全网多平台共标记25万条谣言,暴雪战网无法正常卸载,这就是今天的其它大新闻!?"小学文凭混清华,不是活受罪吗"!! 指的是谁呀?如何在 Arch Linux 中安装 MATE 桌面 | Linux 中国孩子「阳康」2个月内,出现这种症状要立即就医,否则可能致命!送新书!《Python深度学习基于Torch/TF(第2版)》,有ChatGPT拓展5 个最好的 Arch Linux 衍生发行版,适合所有人 | Linux 中国Pandas:用于数据分析和数据科学的最热门 Python 库 | Linux 中国如何在 Arch Linux 中安装 OpenOffice(新手指南) | Linux 中国美国人墨西哥买鸡蛋,官方警告:会被没收及罚款少而多:少数民族歌手多加拿大央行警告:如果房价跌幅比想象中要大,家庭债务会出问题,可能会负资产巨蟹OBS Studio 29 发布,但对 Linux 用户来说变化不大 | Linux 中国你现在可以在 Arch Linux 上安装 Unity 7.6 桌面了 | Linux 中国小结:自己装修退休小屋的费用
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。