Вредоносное ПО, скрытое в моделях ИИ на PyPI, атакует пользователей Alibaba AI Labs

ReversingLabs обнаруживает новое вредоносное ПО, скрытое внутри моделей AI/ML на PyPI, нацеленное на пользователей Alibaba AI Labs. Узнайте, как злоумышленники используют файлы Pickle и растущую угрозу для цепочки поставок программного обеспечения.

Эксперты по кибербезопасности из ReversingLabs (RL) обнаружили новый трюк, используемый киберпреступниками для распространения вредоносного программного обеспечения, на этот раз скрывая его в моделях искусственного интеллекта ( ИИ ) и машинного обучения ( МО ).

Исследователи обнаружили три опасных пакета в Python Package Index ( PyPI ), популярной платформе, где разработчики Python могут находить и делиться кодом. Они напоминали Python SDK для сервисов Aliyun AI Labs и были нацелены на пользователей Alibaba AI Labs.

Alibaba AI labs — это значимая инвестиционная и исследовательская инициатива в рамках Alibaba Group и часть сервисов искусственного интеллекта и анализа данных Alibaba Cloud, или Alibaba DAMO Academy.

Эти вредоносные пакеты, названные aliyun-ai-labs-snippets-sdk , ai-labs-snippets-sdk и aliyun-ai-labs-sd k , не имели реальной функциональности ИИ, объяснил инженер ReversingLabs Карло Занки в исследовании, предоставленном Hackread.com.

«На пакет ai-labs-snippets-sdk пришлось большинство загрузок, поскольку он был доступен для загрузки дольше, чем два других пакета», — говорится в сообщении в блоге .

Вместо этого, после установки, они тайно сбросили инфостилер (вредоносное ПО, предназначенное для кражи информации). Этот вредоносный код был спрятан внутри модели PyTorch. К вашему сведению, модели PyTorch часто используются в машинном обучении и по сути представляют собой сжатые файлы Pickle. Pickle — это распространенный формат Python для сохранения и загрузки данных, но он может быть рискованным, поскольку внутри может быть спрятан вредоносный код. Этот конкретный инфостилер собрал основные данные о зараженном компьютере и его файле .gitconfig, который часто содержит конфиденциальную информацию пользователя для разработчиков.

Пакеты были доступны на PyPI с 19 мая менее 24 часов, но были загружены около 1600 раз. Исследователи RL полагают, что атака могла начаться с фишинговых писем или других приемов социальной инженерии, чтобы обманом заставить пользователей загрузить поддельное программное обеспечение. Тот факт, что вредоносная программа искала данные из популярного китайского приложения AliMeeting и файлов .gitconfig , говорит о том, что основными целями могли быть разработчики из Китая.

Быстрый рост использования ИИ и МО в повседневном программном обеспечении делает их частью цепочки поставок программного обеспечения, создавая новые возможности для злоумышленников. ReversingLabs отслеживает эту тенденцию, ранее предупреждая об опасностях формата файла Pickle.

Директор по управлению продуктами ReversingLabs Дхавал Шах ранее отмечал , что файлы Pickle могут использоваться для внедрения вредоносного кода. Это было доказано в феврале кампанией nullifAI, где вредоносные модели ML были обнаружены на Hugging Face , еще одной платформе для проектов ML.

Последнее открытие на PyPI показывает, что злоумышленники все чаще используют модели ML, в частности формат Pickle , для сокрытия своего вредоносного ПО. Средства безопасности только начинают догонять эту новую угрозу, поскольку модели ML традиционно рассматривались просто как носители данных, а не как места для исполняемого кода. Это подчеркивает настоятельную необходимость в более эффективных мерах безопасности для всех типов файлов при разработке ПО.