您当前的位置:首页 > 电脑百科 > 安全防护 > 资讯

PyTorch机器学习框架遭遇恶意依赖供应链攻击

时间:2023-01-08 15:04:11  来源:  作者:嘶吼RoarTalk

PyTorch机器学习框架遭遇恶意依赖供应链链攻击。

与Keras 和 TensorFlow类似,PyTorch是基于Python/ target=_blank class=infotextkey>Python的开源机器学习框架。PyTorch广泛用于计算机视觉和自然语言处理任务。12月31日,PyTorch团队称其发现了PyTorch中的恶意依赖,受到供应链攻击。


供应链攻击

PyTorch团队识别出了一个与PyTorch框架'torchtriton'库名字一样的恶意依赖。攻击者在PyPI中上传了一个与torchtriton'库名字一样的恶意依赖库,实现了供应链攻击。因此,攻击者可以通过依赖攻击向量来识别成功入侵开源学习框架。

恶意torchtriton库的主要功能包括:

获取系统信息

来自/etc/resolv.conf 的nameservers;

来自gethostname() 的hostname;

来自getlogin() 的当前 username;

来自getcwd() 的当前working directory name。

环境变量;

读取系统文件

/etc/hosts

/etc/passwd

$HOME/*

$HOME/.gitconfig

$HOME/.ssh/*

并通过到域名*.h4ck[.]cfd的加密的DNS查询来上传包括文件内容在内的以上信息,使用的DNS服务器为wheezy[.]io。文件上传功能的文件大小限制为99999字节,还会上传$HOME 目录的前1000个文件。


修复补丁

PyTorch团队建议通过2022年12月25日到12月30日之间通过pip安装PyTorch的用户,尽量卸载torchtriton和PyTorch,并使用12月30日之后的最新版本。卸载恶意依赖库的命令如下:

$ pip3 uninstall -y torch torchvision torchaudio torchtriton$ pip3 cache purge

PyTorch团队已经将'torchtriton'库重命名为'pytorch-triton'以预防潜在的类似攻击。

图 PyTorch重命名'torchtriton'库

此外,用户还可以通过以下命令来确定是否受到该供应链攻击的影响:

python3 -c "import pathlib;import importlib.util;s=importlib.util.find_spec('triton');affected=any(x.name == 'triton' for x in (pathlib.Path(s.submodule_search_locations[0]if s is not None else '/' ) / 'runtime').glob('*'));print('You are {}affected'.format('' if affected else 'not '))"


截止2021年12月31日,BleepingComputer发现恶意'torchtriton' 依赖在上传一周内已经下载超过2300次。

https://pytorch.org/blog/compromised-nightly-dependency/#how-to-check-if-your-python-environment-is-affected

参考及来源:https://www.bleepingcomputer.com/news/security/pytorch-discloses-malicious-dependency-chain-compromise-over-holidays/



Tags:供应链攻击   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
PyTorch机器学习框架遭遇恶意依赖供应链链攻击。与Keras 和 TensorFlow类似,PyTorch是基于Python的开源机器学习框架。PyTorch广泛用于计算机视觉和自然语言处理任务。12月31...【详细内容】
2023-01-08  Tags: 供应链攻击  点击:(0)  评论:(0)  加入收藏
▌简易百科推荐
PyTorch机器学习框架遭遇恶意依赖供应链链攻击。与Keras 和 TensorFlow类似,PyTorch是基于Python的开源机器学习框架。PyTorch广泛用于计算机视觉和自然语言处理任务。12月31...【详细内容】
2023-01-08  嘶吼RoarTalk     Tags:供应链攻击   点击:(0)  评论:(0)  加入收藏
随着对技术的依赖不断增加,我们对技术的信任也在随之增加。如今,我们习惯将自己的私人数据委托给各种在线平台,如银行账户、电子商务零售商、加密货币交易所和电子邮件服务提...【详细内容】
2022-12-27  嘶吼RoarTalk     Tags:隐私   点击:(15)  评论:(0)  加入收藏
远程工作模式日渐盛行,新冠疫情促使在线商务如火如荼,随着企业继续应对与这两个因素相关的网络威胁,网络安全已上升到企业议程的首位。据知名调研公司Gartner的研究显示,88%的董...【详细内容】
2022-12-24  嘶吼RoarTalk     Tags:网络安全   点击:(10)  评论:(0)  加入收藏
0day多伦多Pwn2Own黑客大赛展示了针对消费科技产品的 63 次0day攻击,参赛者收入 989,750 美元。 在这次黑客竞赛中,26 个团队和安全研究人员将目标设备设在手机、家庭自动化集...【详细内容】
2022-12-19  安全圈    Tags:漏洞   点击:(35)  评论:(0)  加入收藏
《华尔街日报》12月7日消息,苹果公司计划大幅扩大其数据加密做法,在该公司继续为数百万iPhone用户建立新的隐私保护措施之际,此举可能会与世界各地的执法部门和政府产生摩擦。...【详细内容】
2022-12-08   界面新闻     Tags:黑客   点击:(24)  评论:(0)  加入收藏
最近安全专家在研究中发现有多个恶意的Chrome扩展插件和浏览器劫机者(Browser Hijackers)感染了超过200万用户。浏览器劫机者是一种不受欢迎的程序,它在没有用户许可的情况下...【详细内容】
2022-11-24  血超级厚的土豆  今日头条  Tags:黑色产业链   点击:(33)  评论:(0)  加入收藏
11月11日,在FTX宣布破产数小时后,FTX的APP在深夜遭到攻击,超过6亿美元从FTX的加密钱包中被盗走。随后,FTX官方确认它已被入侵,指示用户不要安装任何新升级并删除所有FTX应用程序。...【详细内容】
2022-11-15  界面新闻    Tags:FTX   点击:(59)  评论:(0)  加入收藏
据央视新闻报道,当地时间24日,韩国国防部发布消息称,韩国军队当天首次参加美国主导的“网络旗帜”多国联合网络攻防演习。报道称,该演习在美国弗吉尼亚州举行,韩军网络作战司令部...【详细内容】
2022-10-25    北京日报客户端  Tags:网络战   点击:(43)  评论:(0)  加入收藏
我们强烈反对网络犯罪和非法行为,国家也一直在持续地高压打击。今天看到一个相关新闻:“两个黑客租用境外服务器搭建DDOS网络攻击平台,帮助他人攻击网站从中获利。其中一个黑客...【详细内容】
2022-10-12  张美波     Tags:网络安全   点击:(43)  评论:(0)  加入收藏
加密交易所币安旗下的公链BNB Chain,使这家全球最大的加密货币交易所损失了价值约5.66亿美元的加密资产。...【详细内容】
2022-10-11  界面新闻  新浪网  Tags:币安   点击:(46)  评论:(0)  加入收藏
相关文章
    无相关信息
站内最新
站内热门
站内头条