Експерти з кібербезпеки виявили серйозну загрозу для спільноти розробників – цілеспрямовану атаку на популярну бібліотеку комп’ютерного зору Ultralytics YOLO. Зловмисники успішно впровадили шкідливий код для майнінгу криптовалюти у версії 8.3.41 та 8.3.42, які були опубліковані в офіційному репозиторії PyPI.
Безпрецедентний масштаб компрометації
Ultralytics YOLO є однією з найпопулярніших бібліотек для розпізнавання об’єктів у реальному часі, що підтверджується вражаючими показниками: понад 33 600 зірок на GitHub та 260 000 щоденних завантажень з PyPI. Інцидент торкнувся не лише безпосередніх користувачів YOLO, але й розробників проектів SwarmUI та ComfyUI, які використовують цю бібліотеку як залежність у своїх рішеннях.
Механізм роботи шкідливого коду
Після встановлення скомпрометованих версій активувався прихований механізм розгортання майнера XMRig у директорії /tmp/ultralytics_runner. Шкідливе програмне забезпечення встановлювало з’єднання з майнінг-пулом через адресу connect.consrensys[.]com:8080. Особливо постраждали користувачі платформи Google Colab, чиї облікові записи були заблоковані через порушення правил використання обчислювальних ресурсів.
Реагування на інцидент та заходи безпеки
Засновник Ultralytics Гленн Йохер офіційно підтвердив факт компрометації та повідомив про негайне видалення заражених версій. Компанія випустила виправлену версію 8.3.43 та ініціювала комплексний аудит безпеки. Попереднє розслідування вказує на причетність підозрілих пул-реквестів від користувача з Гонконгу.
Продовження кібератаки та нові виклики
Незважаючи на вжиті заходи, з’явилися повідомлення про нові скомпрометовані версії 8.345 та 8.3.46, що свідчить про триваючу активність зловмисників. Фахівці з безпеки наполегливо рекомендують користувачам верифікувати версії бібліотеки та терміново оновитися до останньої перевіреної версії.
Цей інцидент яскраво демонструє зростаючу загрозу атак на ланцюги постачання в екосистемі відкритого програмного забезпечення. Для мінімізації ризиків розробникам необхідно впроваджувати суворі процедури перевірки коду, використовувати багатофакторну автентифікацію та регулярно проводити аудити безпеки. Користувачам рекомендується встановити автоматичні сповіщення про оновлення залежностей та ретельно перевіряти зміни у нових версіях перед їх впровадженням у виробниче середовище.
