ISGroup Conseil en Cybersécurité

La bibliothèque Ultralytics AI victime d’une attaque sur la chaîne d’approvisionnement

Ultralytics, une bibliothèque d’IA largement utilisée avec plus de 60 millions de téléchargements sur PyPI, a été victime d’une attaque sophistiquée sur la chaîne d’approvisionnement (supply chain). Les chercheurs en cybersécurité de ReversingLabs ont révélé l’attaque le 4 décembre, expliquant que la version malveillante (8.3.41) de la bibliothèque était conçue pour déployer le mineur de cryptomonnaie XMRig. Les attaquants ont exploité une vulnérabilité d’injection de script dans GitHub Actions pour compromettre l’environnement de build.

Date11-12-2024 16:21:13
Informations
  • Correctif disponible
  • Exploitation active

Résumé technique

L’attaque a été menée via une vulnérabilité dans les scripts GitHub Actions, qui a permis l’exécution arbitraire de code dans l’environnement de build. Les attaquants, utilisant un compte GitHub nommé openimbot, ont initié des pull requests malveillantes avec des charges utiles (payloads) intégrées dans les noms des branches.

Étapes clés de l’attaque :

  • Compromission de l’environnement : Les attaquants ont contourné les processus de révision de code pour injecter du code téléchargeur pour XMRig directement dans le pipeline de build.

  • Injection de code malveillant : Des fichiers clés tels que downloads.py et model.py ont été modifiés pour inclure des mécanismes de distribution de charge utile spécifiques à la plateforme.

  • Exécution de la charge utile : Le code injecté a téléchargé et exécuté le mineur de cryptomonnaie XMRig, exploitant les ressources des victimes pour le minage de cryptomonnaies.

La première tentative de remédiation a échoué. La version 8.3.42, publiée comme mise à jour « sécurisée » le 5 décembre, contenait le même code malveillant que la version 8.3.41. Le problème n’a été résolu que plus tard dans la même journée, avec la version 8.3.43.

Recommandations

  • Appliquer les mises à jour : mettre à jour vers la version 8.3.43 ou supérieure pour supprimer le code malveillant.
  • Sécuriser les pipelines de build : réviser et protéger les flux de travail CI/CD contre les vulnérabilités de type injection de script.
  • Surveiller les dépendances : effectuer régulièrement des audits des bibliothèques pour détecter les mises à jour inattendues ou les modifications non autorisées.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *