pytorch受到严重安全折衷的击中

　　人们发现对Pytorch的恶意依赖性欺骗了Python开发人员下载它，然后窃取其敏感数据 。 　　Pytorch最近透露 ，它已经发现了一种恶意的依赖性，与框架的“ Torchtriton ”图书馆。在假期中安装了Pytorch-nightly在假期中安装的Admins
，据说已被妥协，并且平台敦促他们立即将框架和依赖性和依赖性和依赖性和lstritrithtritrithtrithtritrithtritrithtrithtritrithtritrithtrithtrithtrit组成
。 　　相同名称的窍门是这样的：当抓取依赖关系时 ，PYPI优先于pytorch-nightly。因此
，用户将恶意依赖性而不是合法的依赖性 。 　　你可能喜欢 　　恶意Python软件包正在窃取重要数据，并且已经下载了数千次 　　被恶意PYPI包劫持的Gmail服务器散布破坏 - 这是如何保持安全的方式 　　恶意NPM软件包使用曲折的后门来针对用户 　　成千上万的受害者 　　“由于PYPI索引优先考虑 ，因此正在安装此恶意软件包
，而不是我们官方存储库中的版本
。该设计使某人能够以与第三方索引中存在的名称相同的名称注册包裹，默认情况下PIP将安装其版本 ，” Pytorch Team在警告中表示。 　　报告声称
，恶意依赖性已经下载了2,000次以上，并且从IP地址和用户名到当前的工作目录中获取了各种敏感数据 。它还读取/etc/hosts ，/etc/passwd的内容
，以及$ home/*中的前1,000个文件等
。 　　使用wheezy.io dns服务器，被盗数据通过加密的DNS查询上传到H4CK.CFD域。阅读更多 　　>恶意PYPI软件包将Discord变成密码窃取恶意软件 　　>此随机图像正在使用github散布恶意PYPL软件包 　　>这些是目前最好的端点保护软件 　　然而 ，这个故事带有情节扭曲 - 作为H4CK.CFD领域的通知似乎声称整个练习是道德研究： 　　你是专业人士吗？订阅我们的新闻通讯 　　注册techradar Pro新闻通讯，以获取您的业务成功所需的所有首选
，意见，功能和指导！取得成功！请与我联系我们的其他未来品牌的新闻 ，并代表我们值得信赖的合作伙伴或Sponsorsby提交您的信息
，您同意您同意的条款和隐私政策，并年龄在16岁或超过16岁之间 。 　　“您好 ，如果您在日志中偶然发现了这一点
，那么这很可能是因为您的Python被错误配置并且容易受到依赖混乱攻击的攻击，
”通知写道
。为了确定脚本脆弱的公司 ，脚本将有关主机（例如主机名和当前工作目录）的元数据发送给我。在我确定了谁很脆弱并[报告]查找有关服务器的所有元数据的发现之后
，将被删除 。” 　　但是，一些专家声称 ，二进制收集的收集不仅仅是“元数据 ”
，它抓住了ssh键，.gitConfig ，主机和密码文件，所有这些都不会触摸道德的黑客
。此外
，＆lsquo; rsquo;使用已知的抗VM技术观察到，以确保其在雷达下停留 ，最后
，有效载荷被混淆并完全以二元格式包含。 　　恶意意图？ 　　尽管如此，在给BleepingComputer的声明中 ，域主仍然遵守他的《白色黑客：》： 　　“嘿
，我是在PYPI上宣称有Torchtriton包裹的人 。请注意，这并不是故意的！ 　　我知道我本可以做得更好 ，以免发送所有用户的数据。我发送更多元数据的原因是
，过去在调查依赖困惑问题时，在许多情况下 ，不可能通过其主机名
，用户名和CWD识别受害者
。这就是我决定发送更多数据的原因，但是回头看这是错误的决定 ，我应该更加小心。 　　我接受责备并道歉 。同时，我想保证
，这不是我打算偷别人的秘密
。我已经在验证了确实存在脆弱性后，在12月29日（宣布的宣布近三天）向Facebook报告了这种脆弱性。我还向其他通过Hackerone计划受到影响的公司做了许多报告 。如果我的意图是恶意的 ，我将永远不会填写任何漏洞赏金报告
，并且只会将数据卖给出价最高的人
。 　　我再次为造成任何干扰而道歉，我保证我收到的所有数据都已删除。 　　顺便说一下 ，我已经提出要将PYPI软件包转移给他们的Facebook的错误报告中
，但是到目前为止，我还没有收到任何答复 。
” 　　通过：BleepingComputer