PyTorch 警告用户更新版本以修复安全漏洞

关键要点

近期，流行的机器学习框架PyTorch在假期期间遭遇了一次软件供应链攻击，用户受到严重警告。PyTorch团队提醒，在2022年12月25日至30日期间通过pip安装的Linux nightly版本用户需要卸载并下载最新版本。根据PyTorch团队的声明，期间安装的PyTorchnightly Linux包含有一个被妥协的依赖包torchtriton，该包在Python包索引PyPI代码库中含有恶意二进制文件。

依赖混淆攻击

此次事件涉及一种显著的软件供应链攻击手段，即“依赖混淆”。这种攻击手法诱使用户从公共代码库下载恶意代码文件，而非内部设计的文件。具体而言，被更新的恶意依赖“torchtriton”与合法的PyTorch扩展同名，导致BeepingComputer观察到超过2300次意外下载。

Henrik Plate，Endor Labs的安全研究员表示：“这一[攻击技术]反映了过去两年我们所见的下一代攻击类型。攻击者逐渐不再利用传统的CVE，而是专注于操控维护者和用户。”

Plate向SC Media建议，抵御依赖混淆攻击的一种方案是使用私有代码库来托管内部和镜像外部软件包，如devpi。不过Plate承认，该方案需要大量的努力，并且仅在本地开发者客户端正确配置的情况下有效。

攻击者声称出于“伦理研究”

在依赖混淆攻击发生后，恶意软件收集系统信息，并通过加密的DNS查询将其发送到特定的域。令众人惊讶的是，该域名的通知表明，攻击是某安全研究者进行“伦理研究”的一部分，旨在发现依赖混淆漏洞。

通知内容如下：“你好，如果你在日志中发现了这个信息，可能是因为你的Python配置错误，容易受到依赖混淆攻击。为了识别易受攻击的公司，脚本将主机的元数据如主机名和当前工作目录发送给我。发现受影响的公司后，我将删除有关你服务器的所有元数据。”

然而，尽管攻击者声称仅收集用户的元数据提供其他数据的信息，而非数据的实际内容，但PyTorch团队发现其还窃取了敏感信息，如SSH密钥。Checkmarx软件供应链主管Tzachi Zornstain在一篇博客文章中表示：“从被感染机器导出环境变量和SSH密钥并不是安全研究员的可接受行为。”

Rezilion漏洞研究主管Yotam Perkal也指出：“虽然此案例本质上并不恶意，因为研究者在公布之前确实报告了问题，但它确实跨越了安全研究的伦理底线。”

根据BeepingComputer于1月1日获得的声明，声称是此次事件幕后黑手的研究者证实这确实是安全研究的一部分，并对自己的错误表示歉意，承诺删除所有数据：

“你好，我是声称PyPi上torchiton包的人。虽然这并非恶意冒犯，我承认我在文件转发用户数据的过程中表现得不够谨慎。我想再次向造成的任何干扰道歉，确保我所接收的数据都已被删除。”

至于应对措施，PyTorch团队已将依赖替换成名为