ReversingLabs выявила новую кампанию с использованием вредоносных PyPI-пакетов на основе Pickle
Специалисты компании ReversingLabs (RL) обнаружили новую масштабную кампанию, в рамках которой злоумышленники используют формат файлов Pickle — широко распространенный и часто уязвимый метод сериализации и десериализации данных в Python. Атака базируется на распространении вредоносных пакетов через Python Package Index (PyPI), замаскированных под законные инструменты для работы с сервисами Aliyun AI Labs.
Что известно о вредоносной кампании
Вредоносные пакеты, выявленные исследователями, называются:
- aliyun-ai-labs-snippets-sdk
- ai-labs-snippets-sdk
- aliyun-ai-labs-sdk
Все они не выполняют заявленных функций и служат исключительно для доставки и запуска вредоносной полезной нагрузки — infostealer, которая скрывается внутри модели PyTorch. После установки пакеты запускают Python-код, предназначенный для сбора конфиденциальной информации:
- данные о вошедшем в систему пользователе;
- сетевой адрес (IP-адрес) жертвы;
- содержимое файла .gitconfig;
- название организации, извлекаемое из настроек приложения AliMeeting.
Особенностью атаки является адресность — целевая аудитория, судя по извлекаемым данным, в основном китайские разработчики.
Технические детали и сложность обнаружения
Пакеты были доступны на PyPI менее 24 часов, при этом общее число загрузок превысило 1600. Такая быстрая и массовая загрузка подчеркивает интерес злоумышленников к широкому распространению.
Типичная проблема средств безопасности — недооценка формата Pickle как потенциального источника вредоносного кода. Модели машинного обучения долгое время воспринимались как безопасный механизм обмена данными, что позволило хакерам использовать сериализованные модели для незаметной доставки вредоносных компонентов.
Вредоносная нагрузка дополнительно защищена:
- применяется кодировка Base64, усложняющая анализ и выявление кода;
- скрытие в моделях PyTorch затрудняет процедуру сканирования и мониторинга.
Ответные меры и перспективы
В ответ на выявленную угрозу специалисты ReversingLabs улучшили функцию своего продукта Spectra — инструмента для анализа и выявления вредоносных компонентов в различных форматах ML-моделей. Среди усовершенствований:
- повышение эффективности выявления опасных функций в файлах моделей;
- внедрение новых политик поиска угроз;
- адаптация механизмов обнаружения к особенностям современных ML-парадигм.
Данная кампания служит ярким сигналом о новых уязвимостях в цепочках поставок программного обеспечения, особенно в экосистемах с открытым исходным кодом. Устаревшие технологии безопасности не способны эффективно противостоять современным методам скрытой инсталляции вредоносных программ в ML-модели.
«Превентивное развитие возможностей обнаружения вредоносных ML-моделей — ключевой элемент защиты современной цепочки поставок от все более изощренных атак», — подчеркивают эксперты ReversingLabs.
Выводы
Выявленная кампания с использованием вредоносных файлов Pickle демонстрирует растущие риски, связанные с безопасностью машинного обучения и распространением программного обеспечения через общеизвестные репозитории. Это подчеркивает необходимость непрерывного совершенствования систем кибербезопасности и внедрения комплексного подхода к защите разработчиков и корпоративных пользователей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новая киберугроза: вредоносные модели ML в PyPI через Pickle".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.