Dipendenza malevola su PyTorch
01/03/2023
Con la presente CERT-Yoroi intende informarla riguardo un nuovo attacco sul framework PyTorch, sul quale è stata scoperta una dipendenza malevola chiamata 'torchtriton', caricata sul registro registro Python Package Index (PyPI). Il nome era lo stesso di una libreria ufficiale pubblicata da PyTorch, una piattaforma di apprendimento automatico open source.
Nell'importazione delle dipendenze in ambiente Python, PyPI ha solitamente la precedenza, causando l'installazione del pacchetto malevolo invece di quello legittimo. Questo tipo di supply chain attack è noto come "confusion dependency".
La dipendenza 'torchtriton' è stata scaricata oltre 2.300 volte nell'ultima settimana. Il binario malevolo 'torchtriton' contenuto all'interno della dipendenza contraffatta viene eseguito solo quando l'utente importa il pacchetto 'triton' nel proprio codice, comportamento non predefinito di PyTorch.
Il binario malevolo non raccoglie solo i metadati sul sistema, ma ruba anche informazioni sensibili come gli indirizzi IP, gli username, le variabili di ambiente e i file, tra cui le chiavi SSH, /etc/hosts e /etc/passwd. Tutte queste informazioni vengono quindi caricate su un dominio tramite query DNS crittografate.
PyTorch ha avvertito attraverso un bollettino ufficiale gli utenti che hanno installato PyTorch-nightly tra il 25 dicembre e il 30 dicembre per assicurarsi che i loro sistemi non siano stati compromessi consigliando di disinstallare immediatamente sia PyTorch che la dipendenza malevola 'torchtriton'. Il team di PyTorch consiglia agli utenti di utilizzare quindi le ultime versioni nightly, che sono state rilasciate dopo il 30 dicembre.
A questo proposito, Yoroi suggerisce di verificare al più presto nei propri ambienti di sviluppo l'utilizzo della dipendenza malevola 'torchtriton'.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index.
