В зависимостях тестовых сборок ИИ-пакета PyTorch выявлен вредоносный код

Подмену зависимости на вредоносную библиотеку выявили разработчики пакета машинного обучения PyTorch, 31 декабря сообщается в блоке проекта.

Выяснилось, что так называемые ночные сборки (тестовые) известного пакета библиотек для машинного обучения распространялись с вредоносной зависимостью в период с 25 по 30 декабря 2022 года.

Злоумышленники воспользовались особенностью поведения пакетного менеджера pip, который устанавливает библиотеки из описываемых в зависимостях из публичных общих хранилищ (репозиториев) в случае, если в собственном репозитории PyTorch размещена более старая версия.

Подмененным оказалась библиотека «torchtriton». Внедренный в библиотеку вредоносный код осуществлял попытку сбора и передачи конфиденциальных данных с системы жертвы злоумышленникам.

Разработчики PyTorch выложили код для обнаружения установки на компьютере зараженной библиотеки.