Python Pickle fájlformátum kihasználása
A ReversingLabs kutatói egy új, a Python Package Index (PyPI) platformot célzó rosszindulatú kampányt azonosítottak, amely a gépi tanulási (ML) modellek sérülékenységeit használja ki, különösen a Pickle fájlformátumot. A támadók három csomagot töltöttek fel, amelyek látszólag az Alibaba AI Labs szolgáltatásaihoz készült Python SDK-ként jelennek meg, de valójában információlopó kódot tartalmaznak, amely egy PyTorch modellbe van ágyazva. A PyTorch modellek valójában tömörített Pickle fájlok, amelyek lehetővé teszik a rosszindulatú kód rejtett futtatását.
A támadás során a csomagok telepítése után a rendszer betölti a rosszindulatú PyTorch modellt, amely kinyeri az áldozat rendszerének alapvető információit, beleértve a .gitconfig fájl tartalmát is, és továbbítja azokat egy támadó által vezérelt szerverre. A kampány során az egyik csomagot, az ai-labs-snippets-sdk-t körülbelül 1600 alkalommal töltötték le, mielőtt eltávolították volna a PyPI-ról. A Pickle fájlformátum inherent kockázatokat hordoz, mivel lehetővé teszi a tetszőleges kód végrehajtását és kihasználható rosszindulatú célokra.
