In KI-Modellen auf PyPI versteckte Malware zielt auf Benutzer von Alibaba AI Labs ab

ReversingLabs entdeckt neue Malware, die in KI/ML-Modellen auf PyPI versteckt ist und sich gegen Nutzer von Alibaba AI Labs richtet. Erfahren Sie, wie Angreifer Pickle-Dateien ausnutzen und welche wachsende Bedrohung für die Software-Lieferkette besteht.

Cybersicherheitsexperten von ReversingLabs (RL) haben einen neuen Trick entdeckt, mit dem Cyberkriminelle Schadsoftware verbreiten: Dieses Mal verstecken sie die Software in Modellen der künstlichen Intelligenz ( KI ) und des maschinellen Lernens ( ML ).

Forscher entdeckten drei gefährliche Pakete im Python Package Index ( PyPI ), einer beliebten Plattform für Python-Entwickler zum Suchen und Teilen von Code, die einem Python-SDK für Dienste von Aliyun AI Labs ähnelten und auf Benutzer von Alibaba AI Labs abzielten.

Alibaba AI Labs ist eine bedeutende Investitions- und Forschungsinitiative innerhalb der Alibaba Group und Teil der KI- und Datenintelligenzdienste von Alibaba Cloud oder der Alibaba DAMO Academy.

Diese schädlichen Pakete mit den Namen aliyun-ai-labs-snippets-sdk , ai-labs-snippets-sdk und aliyun-ai-labs-sd k verfügten über keine echte KI-Funktionalität, erklärte Karlo Zanki, Reverse Engineer bei ReversingLabs, in der mit Hackread.com geteilten Studie.

„Das Paket ai-labs-snippets-sdk machte den Großteil der Downloads aus, da es länger zum Download verfügbar war als die beiden anderen Pakete“, heißt es in dem Blogbeitrag .

Stattdessen platzierten sie nach der Installation heimlich einen Infostealer (Malware zum Diebstahl von Informationen). Dieser schädliche Code war in einem PyTorch-Modell versteckt. Zur Information: PyTorch-Modelle werden häufig im maschinellen Lernen verwendet und sind im Wesentlichen komprimierte Pickle-Dateien. Pickle ist ein gängiges Python-Format zum Speichern und Laden von Daten, kann aber riskant sein, da sich darin Schadcode verbergen kann. Dieser spezielle Infostealer sammelte grundlegende Informationen über den infizierten Computer und seine .gitconfig-Datei, die oft vertrauliche Benutzerinformationen für Entwickler enthält.

Die Pakete waren ab dem 19. Mai weniger als 24 Stunden lang auf PyPI verfügbar, wurden aber rund 1.600 Mal heruntergeladen. RL-Forscher vermuten, dass der Angriff mit Phishing-E-Mails oder anderen Social-Engineering-Taktiken begann, um Nutzer zum Download der gefälschten Software zu verleiten. Die Tatsache, dass die Malware nach Details der beliebten chinesischen App AliMeeting und .gitconfig Dateien suchte, deutet darauf hin, dass Entwickler in China die Hauptziele sein könnten.

Der rasante Anstieg des Einsatzes von KI und ML in Alltagssoftware macht diese zu einem Teil der Software-Lieferkette und eröffnet Angreifern neue Möglichkeiten. ReversingLabs verfolgt diesen Trend und warnte bereits vor den Gefahren des Pickle-Dateiformats.

Dhaval Shah, Produktmanagementdirektor bei ReversingLabs, hatte bereits zuvor darauf hingewiesen , dass Pickle-Dateien zum Einschleusen von Schadcode verwendet werden könnten. Dies bewahrheitete sich im Februar mit der NullifAI-Kampagne, bei der bösartige ML-Modelle auf Hugging Face , einer anderen Plattform für ML-Projekte, gefunden wurden.

Diese neueste Entdeckung auf PyPI zeigt, dass Angreifer zunehmend ML-Modelle, insbesondere das Pickle- Format, nutzen, um ihre Malware zu verbergen. Sicherheitstools beginnen gerade erst, diese neue Bedrohung zu erkennen, da ML-Modelle traditionell nur als Datenträger und nicht als Speicherort für ausführbaren Code angesehen wurden. Dies unterstreicht den dringenden Bedarf an besseren Sicherheitsmaßnahmen für alle Dateitypen in der Softwareentwicklung.