资讯评论 - 以 YOLO 闻名的视觉库 Ultralytics 被植入挖矿木马 - OSCHINA

近期，以其 YOLO（You Only Look Once）对象检测模型而闻名的流行 AI/计算机视觉库Ultralytics成为复杂的供应链攻击的受害者。

Ultralytics 可用于各种应用，这些应用范围从显而易见的在视频流中查找物体、卫星监视和自动驾驶，到鲜为人知的农作物和牲畜监测以及野生动物调查。因此，每当有新版本发布时，该库在 24 小时内从 PyPI 下载量超过 260,000 次也就不足为奇了。

软件供应链安全公司ReversingLabs发现恶意攻击者已经破坏了其构建环境，新版本 8.3.41 包含恶意代码，一旦安装，就会部署加密货币挖矿程序。

好消息是，项目维护人员发现了这个问题，并立即发布了一个修补版本 8.3.42。坏消息是，他们没有发现真正的问题。因此，“修复”版本中隐藏着相同的木马。他们很快意识到他们并没有真正解决问题。因此，同一天，维护人员发布了一个干净的版本 8.3.43。

发生这种情况的原因是攻击者利用了GitHub Actions中一个已知漏洞，该漏洞使攻击者能够在自动构建过程中注入恶意代码。这种巧妙的手段绕过了通常的代码审查保护措施，因为恶意代码只存在于推送到 PyPI 的包中，而不存在于 GitHub 存储库本身中。

此次攻击的影响是立竿见影且影响广泛的。安装了受感染版本的用户 CPU 使用率突然飙升，这是加密货币挖矿活动的明显迹象。在收到可疑行为报告后，由创始人兼首席执行官 Glenn Jocher 领导的 Ultralytics 团队迅速采取行动。

这一事件在 Ultralytics 社区引起了轩然大波。它还凸显了软件供应链被滥用的可能性，并提醒人们，看似值得信赖的软件包可能会被武器化，从而可能影响全球数百万用户和系统。

Ultralytics 漏洞凸显了在软件包分发过程中加强安全措施的必要性，以及在开源生态系统中保持警惕的重要性。这又是一个警示，我们不能完全信任我们的依赖项，无论它们过去有多可靠。相反，在将任何外部代码投入生产之前，我们必须验证每一个糟糕的更新。

更多独家技术见解与热门话题讨论，尽在【开源中国 APP】，与数百万开发者一起，随时随地探索技术无限可能。