Aanvallers verspreiden malware via supply chain-aanval op PyTorch

PyTorch, een opensourceraamwerk voor machine learning van de Linux Foundation, is vorige week getroffen door een malware-aanval. Aanvallers wisten malware te verstoppen in een malafide variant van de package torchtriton, die als afhankelijkheid wordt geïnstalleerd bij de installatie van PyTorch.

Het PyTorch Team waarschuwt in een blogpost voor de aanval. De aanvallers hebben een malafide dependency package geüpload naar de Python Package Index (PyPi) code repository, met dezelfde naam als de torchtriton-package die onderdeel uit maakt van de nightly-versie van PyTorch. Deze versie bevat malware die wachtwoorden en SSH-sleutels van getroffen systemen steelt. Ook andere data is inzichtelijk voor de malware.

Zo'n 2.300 gebruikers getroffen

In de blogpost deelt het team instructies waarmee gebruikers kunnen achterhalen of hun Python-omgeving is getroffen. In totaal zouden zo'n 2.300 gebruikers de malafide variant hebben gedownload. Gebruikers van de PyTorch stable packages zijn niet getroffen, benadrukt het team.

Gebruikers die tussen 25 en 30 december 2022 via pip PyTorch op Linux hebben geïnstalleerd, wordt geadviseerd deze installatie en torchtriton direct te verwijderen. Zij kunnen PyTorch opnieuw installeren met behulp van de binaries die nieuwe zijn dan 30 december 2022.