当前时讯:PyTorch 安装包出问题,部分用户有数据泄漏的风险
叶紫网北京时间 2023年1月3日消息,PyTorch 官方发布一则最新声明。“所有在 2022 年 12 月 25 日至 12 月 30 日期间,在 Linux 系统安装了PyTorch-nightly(每日更新版)的用户,请立即卸载!”
据官方透露,他们刚刚识别出一个与框架的“torchtriton”库同名的恶意依赖项,该依赖项在 PyPI 代码库上被破坏,并运行恶意二进制文件。
(资料图片)
攻击者试图窃取用户 IP 地址、当前工作目录等敏感数据并上传到指定地址,相关恶意代码在从 PyPI 删除之前已被下载 2300 + 次。
不过就在事情一面倒时,攻击者却自己发表了声明,坚称并无恶意,一切只是为了道德研究。
那么 ——
到底发生了什么?
具体事情是这样的:
攻击者在Python 的官方索引库:PyPI(Python Package Index),创建了一个叫“torchtriton”的 Python 软件包。
为何取这个名字?
当然是故意的。
这样就能和 PyTorch 本身有的一个包名字相匹配,好比玩起了 Cosplay。
然后,由于名字相同,“假 torchtriton”就被跟着上传到了 PyPI 中。
又因为 PyPI 索引具有优先权,所以假 torchtriton 就被默认安装到用户的设备上了,而真正的官方版本却被搁置到一旁。
这就是所谓的供应链攻击,在公共软件包索引上,被托管的软件包之间的的依赖关系都受到了直接影响。
不出所料,这个假 torchtriton 自带一肚子坏水:
它比官方版多了上传敏感数据的代码,还包含一个恶意的 triton 二进制文件。
一旦被安装在用户设备上,它就可以入侵系统,窃取用户的重要数据,比如:主机名、用户名、系统中的已知用户,以及 SSH 密钥等。
据悉用户的列表是从 / etc / passwd 中提取的,幸运的是,它实际上并不包含任何密码或密码哈希值。
至于 SSH 密钥,这是安全外壳(SSH)协议中使用的安全访问凭证,也是 Linux 服务器运维的关键。
有网友指出:
关于 SSH 密钥,Linux 存在一些漏洞,而 iOS 和 Android 的安全模型就不会允许 Python 软件包窃取 SSH 密钥。
不过,最好的解决方案是实施最小权限原则,不要给程序授予任何不必要的权限。
另外,或许也可以考虑请雇人检查软件包。
用户这边,如果你记不清自己下载的是哪个版本,官方给出了一个检查的办法:
输入以下命令,在 torchtriton 包(PYTHON_SITE_PACKAGES / triton / runtime / triton)中搜索恶意二进制文件,然后就能看到在当前的 Python 环境是否受到影响。
事件后续
在官方声明中,PyTorch 也提出了他们的解决策略。
PyTorch 将“ torchtriton”依赖项重命名为“ PyTorch- triton”,并在 PyPI 上保留了一个虚拟包,以防止类似的攻击。
同时,官方也发推呼吁在 2022 年 12 月 25 日至 12 月 30 日期间下载了恶意版本的用户立即卸载,并使用最新版本。
事情进一步发酵后,有媒体顺藤摸瓜,根据被盗数据传输到的域名,找到了该域名背后的所有者。
公共记录显示,该域名于 12 月 21 日刚刚注册,就在 Pytorch 事件发生的几天前。
据 Bleeping Computer 消息,这位所有者坚称自己的做法“不是恶意的”,只是为了道德研究,而且所有数据都已删除。
我为此承担责任并道歉。与此同时,我想向你们保证,我无意窃取别人的秘密。
我已经在 12 月 29 日 (几乎是官方宣布的三天前) 在确认漏洞存在后向 Facebook 报告了这个问题。
我还通过 HackerOne 向其他可能受到影响的公司提交了报告。
如果我是恶意的,我将永远不会填写任何漏洞赏金报告,而是只把数据出售给出价最高的人。
对于发送许多用户敏感数据的原因,他进一步解释:
在过去调查依赖混淆攻击时,大多数情况下不可能根据受害者的主机名、用户名和 CWD 来识别他们。
这就是我这次决定发送更多数据的原因,但是回顾过去,这是一个错误的决定,我应该更加谨慎。
对于攻击者的这一说法,目前 PyTorch 官方还未做出回应。
推荐阅读
运动型轿车是什么 运动型轿车与普通车有何区别?
运动型轿车凭借着外观酷炫,动力性能强的特点,深受国内众多消费者的喜爱。特别是在年轻消费者心目中,运动型轿车基本上是购车的首选。但是 【详细】
汽油清洗剂是什么 汽油清洗剂加在汽油里是干嘛的?
最近有很多车主反映加油的时候总是建议用汽油清洁剂。但是,大部分人还是不太了解,还有就是一部分人纳闷汽油清洗剂加在汽油里是干嘛的?汽 【详细】
中国最便宜的汽车是哪个 最便宜的汽车汇总
现在汽车已经成为了大家最常见的交通代步工具了。但是,依然还是有很多的家庭非常的需要代步工具,却买不起特别贵的汽车。所以今天,我们就 【详细】
伊莱克斯冰箱质量怎么样 伊莱克斯冰箱质量好不好?
伊莱克斯冰箱质量怎么样:在2018年全球500强企业中,伊莱克斯排名第162位,在2020年全球2000强企业中,伊莱克斯排名第1965位,可见伊莱克斯 【详细】
劳动保护用品是什么 劳动保护用品有哪些?
劳动保护用品有哪些?劳动防护用品分为特殊劳动防护用品和一般劳动防护用品,一般劳动防护用品是指未列入目录的一般劳动防护用品。以下产品 【详细】
相关新闻
实现高并发秒杀的七种方式
引言商品秒杀-超卖解决商品超卖方式一(改进版加锁)方式二(AOP版加锁)方式三(悲观锁一)方式四(悲观锁二)方式五(乐观锁)方式六(阻塞 【详细】
全球看热讯:3D渲染引擎 HOOPS Visualize 2023全新发布-增加对顶点着色器支持
HOOPSVisualize是一款工业级3D渲染引擎,可以用于打造移动端和PC端工程应用程序,其灵活、分层的场景管理引擎,支持处理各种3D模型 【详细】
世界看热讯:「升级」Hubstudio多账号安全管理浏览器之扩展中心上线啦!
Hubstudio多账号安全管理系统,到目前为止已经安全管理600w以上的环境账号,而且小编发现大家在环境中最常用的就是插件哦,所以为了给大家在 【详细】
汽车早报 - 消息称蔚来布局百万元级别电动车 广汽称将继续为讴歌中国客户提供售后服务
吉利称2022年新能源销量较上年翻三番1月9日,吉利控股集团官微发布消息称,2022年12月,吉利汽车集团旗下新能源(含吉利、几何、领克、极氪、 【详细】
今头条!车轮上的2022∣新能源与汽车出口带动:全国乘用车零售量同比增长1.9%
21世纪经济报道记者杜巧梅北京报道“‘新十条’改变了车市的封控状态,市场明显回升,部分有购买力的消费者希望尽快提车;同时部分政策到期加 【详细】
谷歌文档新功能:看到非打印字符
谷歌周一在一篇博文中宣布,该公司正在为GoogleDocs增加一项功能,让你看到非打印字符,如空格、制表符和各种类型的断句。该选项将在视图菜单 【详细】
世界新消息丨一加新机质感高级,更有多项黑科技加持,3999的价格入手值吗?
最后一加11出来的时候确实也是惊艳了所有人,产品力相当不俗,而且外观设计什么的也很好看,下面就跟着笔者一起来了解一下吧。 【详细】
焦点信息:中国手机品牌在2022年拿下俄罗斯市场份额65% 但高价机一个没有
2万~4万卢布最受喜欢的手机型号是:RedmiNote10Pro、Honor50Lite、三星GalaxyA52、三星G 【详细】
2022年这5款熟悉的产品向我们告别
在过去的一年里,有很多新产品发布,当然也有很多产品与我们就此别过。这些产品曾陪伴我们的生活,给我们带来欢乐,帮助我们成长。 【详细】
即时:陈副区长事件,引出一个老生常谈的问题,腾讯是否会保留聊天记录
陈副区长事件出来以后,我觉得,她,以及那男的,第一时间,都会删除手机上的聊天记录。如此,再要查那个男人是谁,就难度很大了。 【详细】
我国首个具备独立运行能力的新能源储能项目在内蒙古并网通电
日前,内蒙古自治区阿拉善盟额济纳旗“源网荷储”微电网示范项目完成建设,并初步实现并网供电,下一步将进入联调联试阶段。 【详细】
上海奉贤区初中转学条件2023
上海奉贤区初中转学条件2023寒假,上海奉贤区初中转学对象、不予转学情况如下:一、转学对象1、本市户籍学生;2、随父母到本区居住的非本市户籍 【详细】
新冠病毒变异逻辑的猜测
新冠病毒经历了多代变异。我有个大胆的猜测这个病毒变异的逻辑,是这样的:在遇到前面已经感染的毒株已经无法继续传播了,于是逼着毒株进行了变 【详细】
世界讯息:充1次用10天!史上续航最强的国产手机,太猛了
骁龙8Gen2继续支棱起来,性能释放猛功耗也不错,不需要再担心这方面问题。而iQOO、Redmi和realme持续发力,快充已经 【详细】
全球视点!10个暗藏惊喜的微信小程序,个个好用不要钱,还请低调使用
微信上的小程序非常便捷,无需安装就能使用。下面给大家推荐10个暗藏惊喜的微信小程序,个个好用不要钱,还大家请低调使用。 【详细】
世界热头条丨刘强东告别他的时代?回笼640亿携孕妻现身英国,祖宅半夜被泼漆
但有网友透露出发现刘强东和怀孕的章泽天出现在伦敦街头,有人推测刘强东回笼了640亿资金要移居海外,他老家祖宅半夜还曾被人泼上了油漆。 【详细】
更便捷!威海市立医院互联网医院上线“新冠感染门诊”
为保障群众就医安全、便利,威海市立医院充分发挥互联网医院线上复诊、续方开药等优势,及时开设发热线上咨询、心理线上咨询等互联网医疗服务 【详细】
七大常用的AR开发工具,总有一款适合你!
8thWall的现实引擎于2021年推出,使基于Web的增强现实体验能够立即在大量iOS和Android设备、计算机、平板电 【详细】
天天简讯:Telia为NCC提供面向北欧数字基础设施的全方位服务的ICT解决方案
该解决方案包括用于NCC数字基础设施关键部分的通信服务和数据网络。这些是可扩展、经济高效且灵活的解决方案,可以轻松地用于连接整个公司的新 【详细】
【全球播资讯】小米13Ultra最快2月底见面?或告别万年USB 2.0
声音|小白小米13、小米13Pro发布后大家也一直期待着小米13Ultra,早前消息预计是今年三四月发布,现据91mobiles独家报道 【详细】
