ISGroup Consultoría de Ciberseguridad

Librería de IA Ultralytics afectada por un ataque a la cadena de suministro

Ultralytics, una biblioteca de IA ampliamente utilizada con más de 60 millones de descargas en PyPI, ha sido víctima de un sofisticado ataque a la cadena de suministro. Investigadores de ciberseguridad de ReversingLabs revelaron el ataque el 4 de diciembre, explicando que la versión maliciosa (8.3.41) de la biblioteca fue diseñada para distribuir el minero de criptomonedas XMRig. Los atacantes aprovecharon una vulnerabilidad de inyección de scripts en GitHub Actions para comprometer el entorno de compilación.

Fecha2024-12-11 16:21:13
Información
  • Corrección disponible
  • Explotación activa

Resumen técnico

El ataque se ejecutó a través de una vulnerabilidad en los scripts de GitHub Actions, lo que permitió la ejecución arbitraria de código en el entorno de compilación. Los atacantes, utilizando una cuenta de GitHub llamada openimbot, iniciaron solicitudes de extracción (pull requests) maliciosas con cargas útiles (payloads) integradas en los nombres de las ramas.

Pasos clave del ataque:

  • Compromiso del entorno: Los atacantes eludieron los procesos de revisión de código para inyectar código descargador para XMRig directamente en la canalización (pipeline) de compilación.

  • Inyección de código malicioso: Archivos clave como downloads.py y model.py fueron modificados para incluir mecanismos de distribución de carga útil específicos para cada plataforma.

  • Ejecución de la carga útil: El código inyectado descargó y ejecutó el minero de criptomonedas XMRig, aprovechando los recursos de las víctimas para el criptominado.

El primer intento de mitigación falló. La versión 8.3.42, lanzada como una actualización “segura” el 5 de diciembre, contenía el mismo código malicioso que la versión 8.3.41. El problema solo se resolvió más tarde, ese mismo día, con la versión 8.3.43.

Recomendaciones

  • Aplicar actualizaciones: actualizar a la versión 8.3.43 o superior para eliminar el código malicioso.
  • Asegurar las canalizaciones de compilación: revisar y proteger los flujos de trabajo CI/CD contra vulnerabilidades de tipo inyección de scripts.
  • Monitorear las dependencias: realizar auditorías periódicas de las bibliotecas para detectar actualizaciones inesperadas o modificaciones no autorizadas.

[Callforaction-THREAT-Footer]

In