HackerNews 编译,转载请注明出处:
网络安全研究人员发现新型利用Python软件包索引(PyPI)传播机器学习模型恶意载荷的攻击活动。ReversingLabs披露,攻击者通过Pickle文件格式将恶意软件植入伪装成AI工具的开源组件,相关软件包声称提供阿里云AI服务的Python SDK,实际却部署窃密程序。
恶意软件包aliyun-ai-labs-snippets-sdk、ai-labs-snippets-sdk及aliyun-ai-labs-sdk表面为AI开发工具,实则不包含任何功能性代码。攻击者将信息窃取程序嵌入PyTorch模型文件(本质为压缩的Pickle文件),利用初始化脚本触发恶意载荷。该程序具备以下窃密能力:
- 窃取用户身份信息及网络配置数据探测设备所属组织架构提取.gitconfig版本控制配置文件
研究人员发现,恶意代码专门检测是否存在阿里会议(AliMeeting)开发者特征,显示攻击目标可能聚焦特定区域。
PyTorch模型加载机制与Pickle反序列化漏洞的结合形成攻击突破口。Pickle允许序列化对象执行任意代码的特性,使其成为绕过传统安全检测的理想载体。三个恶意软件包中有两个通过此方式投放全功能恶意程序。ReversingLabs逆向工程师Karlo Zanki指出:“当前安全工具对恶意机器学习模型的检测能力仍处于原始阶段,现有防护体系缺乏针对此类攻击的必要功能。”
尽管PyPI官方已下架相关软件包,但其在存活期间累计被下载约1600次。攻击者可能通过社会工程或钓鱼手段诱导开发者安装,具体诱导方式尚未明确。该事件凸显AI/ML工具成为软件开发核心组件后,亟需建立更严格的文件验证机制与零信任原则来应对ML制品的安全风险。
消息来源: infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
