【安全资讯】Ultralytics AI库遭供应链攻击：6000万次下载受损

概要：

网络安全研究人员揭示了流行的AI库Ultralytics遭遇的供应链攻击，该库在PyPI上拥有超过6000万次下载。此次攻击于12月4日披露，涉及一个被恶意篡改的版本（8.3.41），该版本被设计用于部署XMRig加密货币矿工。这一事件突显了供应链安全的脆弱性，尤其是在开源软件领域。

主要内容：

此次攻击通过针对GitHub Actions脚本的复杂漏洞实现，攻击者利用已知的GitHub Actions脚本注入漏洞，成功在Ultralytics的构建环境中执行任意代码。ReversingLabs的报告指出，恶意行为者在代码审核完成后，成功侵入了相关项目的构建环境，并注入了恶意代码。

攻击者使用名为openimbot的GitHub用户账户创建了恶意的拉取请求，将有效载荷代码嵌入分支名称中。这一行为触发了对受损环境的后门访问，导致XMRig矿工下载器代码的注入。更令人担忧的是，在缓解过程中，12月5日发布的版本8.3.42被错误标记为“安全”更新，实际上仍包含与8.3.41相同的恶意代码，直到当天晚些时候才发布了解决此问题的版本8.3.43。

恶意软件嵌入在关键文件如downloads.py和model.py中，展现出平台特定的行为，以根据目标系统调整有效载荷的交付。专家警告，尽管此次事件的影响仅限于加密货币挖矿，但未来可能会部署更具破坏性的恶意软件，如后门或远程访问木马。