FRAMEWORK PYTORCH FUE VULNERANDO POR CIBERDELINCUENTES

03/01/2023

BOLETÍN NRO 2023-002

Recientemente desarrolladores de Python han advertido a los usuarios que hayan instalado las versiones nightly de la librería PyTorch entre el 25 de diciembre de 2022 y el 30 de diciembre de 2022 deben desinstalarlo y reemplazarlo por la última versión liberada para evitar ataques por parte de los ciberdelincuentes.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   MEDIA

Los paquetes PyTorch-nightly Linux instalados a través de pip durante ese tiempo habían instalado una dependencia, torchtriton, que se vio comprometida en el repositorio de código Python Package Index (PyPI) y ejecutó un binario malicioso. PyTorch, análogo a Keras y TensorFlow, es un marco de aprendizaje automático de código abierto basado en Python que fue desarrollado originalmente por Meta Platforms.

El equipo de PyTorch dijo que tuvo conocimiento de la dependencia maliciosa el 30 de diciembre y el ataque a la cadena de suministro consistió en subir la copia con malware de una dependencia legítima llamada torchtriton al repositorio de código Python Package Index (PyPI).

Dado que los gestores de paquetes como pip comprueban los registros de código públicos como PyPI para un paquete antes que los registros privados, permitió que el módulo fraudulento se instalara en los sistemas de los usuarios en lugar de la versión real extraída del sitio de terceros.

La versión maliciosa, por su parte, está diseñada para filtrar información del sistema, incluidas variables de entorno, el directorio de trabajo actual y el nombre de host, además de acceder a los siguientes archivos

• /etc/hosts.

• /etc/passwd.

• The first 1,000 files in $HOME/*.

• $HOME/.gitconfig.

• $HOME/.ssh/*.

El propietario del dominio al que se transmitieron los datos robados afirmó que formaba parte de un ejercicio de investigación ética y que todos los datos han sido borrados desde entonces. Como mitigación, se ha eliminado torchtriton como dependencia y se ha sustituido por pytorch-triton.

Indicadores de Compromiso

Dominio

wheezy[.]io

h4ck[.]cfd

Hash

MD5: 908596ffe11c30d1669431f3f4cb54f2

SHA-256: 2385b29489cd9e35f92c072780f903ae2e517ed422eae67246ae50a5cc738a0e

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: PyTorch Machine Learning Framework Compromised with Malicious Dependency
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​