Cyberattaquants Torch Python Machine Learning Project
Un attaquant inconnu a glissé un binaire malveillant dans le projet d’apprentissage automatique PyTorch en enregistrant un projet malveillant auprès du Python Package Index (PyPI), infectant les machines des utilisateurs s’ils téléchargeaient une version nocturne entre le 25 et le 30 décembre.
La Fondation PyTorch a déclaré dans un avis le 31 décembre que l’effort était une attaque de confusion de dépendance, dans laquelle une entité inconnue a créé un package dans le Python Package Index avec le même nom, torchtriton, en tant que bibliothèque de code dont dépend le projet PyTorch. La bibliothèque malveillante incluait les fonctions normalement utilisées par PyTorch mais avec une modification malveillante : elle téléchargeait les données du système de la victime vers un serveur d’un domaine désormais disparu.
La fonction malveillante saisirait une variété d’informations spécifiques au système, le nom d’utilisateur, les variables d’environnement, une liste d’hôtes auxquels la machine de la victime se connecte, la liste des hachages de mot de passe et les 1 000 premiers fichiers du répertoire personnel de l’utilisateur.
« Étant donné que l’index PyPI a priorité, ce package malveillant a été installé à la place de la version de notre référentiel officiel », indique l’avis. « Cette conception permet à quelqu’un d’enregistrer un paquet sous le même nom que celui qui existe dans un index tiers, et [the package manager] installera leur version par défaut. »
L’attaque est la dernière attaque de la chaîne d’approvisionnement logicielle visant les référentiels open source. À la mi-décembre, par exemple, des chercheurs ont découvert un package malveillant déguisé en client de la société de cybersécurité SentinelOne qui avait été téléchargé sur PyPI. Lors d’une autre attaque par confusion de dépendances en novembre, les attaquants ont créé plus de deux douzaines de clones de logiciels populaires avec des noms conçus pour tromper les développeurs imprudents. Des attaques similaires ont ciblé le référentiel Nuget axé sur .NET et l’écosystème Node.js Package Manager (npm).
Même nom, différents forfaits
Lors de la dernière attaque contre PyTorch, l’attaquant a utilisé le nom d’un package logiciel que les développeurs de PyTorch allaient charger à partir du référentiel privé du projet, et comme le package malveillant existait dans le référentiel PyPI, il a pris le pas. La Fondation PyTorch a supprimé la dépendance dans ses versions nocturnes et a remplacé le projet PyPI par un package bénin, indique l’avis.
Le groupe a également supprimé toutes les versions nocturnes qui dépendent de la torchtriton dépendance de la page de téléchargement du projet et dit qu’il envisage de s’approprier le torchtriton projet sur PyPI.
Heureusement, car le torchtritan la dépendance n’a été importée que dans les versions nocturnes du programme, l’impact de l’attaque ne s’est pas propagé aux utilisateurs typiques, a déclaré Paul Ducklin, chercheur principal à la société de cybersécurité Sophos, dans un article de blog.
« Nous supposons que la majorité des utilisateurs de PyTorch n’auront pas été affectés par cela, soit parce qu’ils n’utilisent pas de versions nocturnes, soit parce qu’ils ne travaillaient pas pendant la période de vacances, ou les deux », a-t-il écrit. « Mais si vous êtes un passionné de PyTorch qui bricole avec des builds nocturnes, et si vous avez travaillé pendant les vacances, alors même si vous ne trouvez aucune preuve claire que vous avez été compromis, vous pourriez néanmoins envisager de générer de nouveaux Par précaution, les paires de clés SSH et la mise à jour des clés publiques que vous avez téléchargées sur les différents serveurs auxquels vous accédez via SSH. »
La Fondation PyTorch a confirmé que les utilisateurs de la version stable de la bibliothèque PyTorch ne seraient pas affectés par le problème.
Intentions erronées ?
Dans une large diffusion mea culpal’attaquant a affirmé qu’il était un chercheur légitime et que le problème résultait de son enquête sur les problèmes de confusion de dépendance.
« Je veux assurer que ce n’était pas mon intention de voler les secrets de quelqu’un », la personne a écrit, affirmant avoir informé Facebook le 29 décembre du problème et fait des signalements aux entreprises utilisant la plateforme de crowdsourcing HackerOne. « Si mes intentions avaient été malveillantes, je n’aurais jamais rempli [sic] tout rapport de prime de bogue, et aurait simplement vendu les données au plus offrant. »
En raison de la déclaration, certains experts ont considéré que l’avis PyTorch était une « fausse alerte », mais il y a eu d’autres attaquants qui ont revêtu le manteau d’un chercheur incompris.
De plus, l’impact de l’attaque aurait pu révéler les informations sensibles des victimes, même si la personne à l’origine du malware avait de bonnes intentions, a écrit Ducklin de Sophos dans un article de blog sur l’attaque de la chaîne d’approvisionnement logicielle.
« En quoi est-ce une ‘fausse alerte’? » il a aussi dit dans un tweet. « Ce malware vole délibérément vos données et les transmet brouillées, non cryptées… afin que toute personne sur votre chemin réseau qui l’a enregistrée puisse les décoder de manière triviale. »