Malware oculto en modelos de IA en PyPI ataca a usuarios de Alibaba AI Labs

ReversingLabs descubre nuevo malware oculto en modelos de IA/ML en PyPI, dirigido a usuarios de Alibaba AI Labs. Descubra cómo los atacantes explotan los archivos Pickle y la creciente amenaza para la cadena de suministro de software.

Los expertos en ciberseguridad de ReversingLabs (RL) han descubierto un nuevo truco utilizado por los ciberdelincuentes para difundir software dañino, esta vez ocultándolo dentro de modelos de inteligencia artificial ( IA ) y aprendizaje automático ( ML ).

Los investigadores descubrieron tres paquetes peligrosos en el Índice de paquetes de Python ( PyPI ), una plataforma popular para que los desarrolladores de Python encuentren y compartan código, que se parecía a un SDK de Python para los servicios de Aliyun AI Labs y estaba dirigido a los usuarios de los laboratorios de IA de Alibaba.

Alibaba AI Labs es una importante iniciativa de inversión e investigación dentro de Alibaba Group y una parte de los servicios de inteligencia artificial y de datos de Alibaba Cloud, o Alibaba DAMO Academy.

Estos paquetes maliciosos, llamados aliyun-ai-labs-snippets-sdk , ai-labs-snippets-sdk y aliyun-ai-labs-sd k , no tenían una funcionalidad de IA real, explicó el ingeniero inverso de ReversingLabs, Karlo Zanki, en la investigación compartida con Hackread.com.

“El paquete ai-labs-snippets-sdk representó la mayoría de las descargas, debido a que estuvo disponible para descarga durante más tiempo que los otros dos paquetes”, reveló la publicación del blog .

Página Léame de un paquete (Fuente: ReversingLabs)

En cambio, una vez instalado, introdujeron en secreto un infostealer (malware diseñado para robar información). Este código dañino estaba oculto dentro de un modelo de PyTorch. Para su información, los modelos de PyTorch se usan a menudo en aprendizaje automático y son básicamente archivos Pickle comprimidos. Pickle es un formato común de Python para guardar y cargar datos, pero puede ser peligroso porque puede contener código malicioso. Este infostealer en particular recopiló información básica sobre el equipo infectado y su archivo .gitconfig, que suele contener información confidencial del usuario para desarrolladores.

Los paquetes estuvieron disponibles en PyPI desde el 19 de mayo durante menos de 24 horas, pero se descargaron unas 1600 veces. Los investigadores de RL creen que el ataque podría haber comenzado con correos electrónicos de phishing u otras tácticas de ingeniería social para engañar a los usuarios y que descargaran el software falso. El hecho de que el malware buscara información de la popular aplicación china AliMeeting y archivos .gitconfig sugiere que los desarrolladores en China podrían ser los principales objetivos.

El rápido aumento del uso de IA y ML en el software cotidiano los convierte en parte de la cadena de suministro de software, lo que genera nuevas oportunidades para los atacantes. ReversingLabs ha estado monitoreando esta tendencia y ya advirtió sobre los peligros del formato de archivo Pickle.

Dhaval Shah, director de gestión de productos de ReversingLabs, había señalado anteriormente que los archivos Pickle podían usarse para inyectar código dañino. Esto se demostró en febrero con la campaña nullifAI, donde se encontraron modelos de aprendizaje automático maliciosos en Hugging Face , otra plataforma para proyectos de aprendizaje automático.

Este último descubrimiento en PyPI muestra que los atacantes utilizan cada vez más modelos de aprendizaje automático (ML), en concreto el formato Pickle , para ocultar su malware. Las herramientas de seguridad apenas están empezando a adaptarse a esta nueva amenaza, ya que tradicionalmente los modelos de ML se consideraban simplemente portadores de datos, no lugares para código ejecutable. Esto pone de relieve la urgente necesidad de mejores medidas de seguridad para todo tipo de archivos en el desarrollo de software.