Ultralytics AI Library Terinfeksi Malware Penambang Cryptocurrency
Dalam serangan rantai pasokan perangkat lunak terbaru, terungkap bahwa dua versi perpustakaan kecerdasan buatan (AI) Python populer bernama Ultralytics telah disusupi untuk menyisipkan penambang cryptocurrency.
Versi yang terdampak, yaitu 8.3.41 dan 8.3.42, kini telah dihapus dari repositori Python Package Index (PyPI). Versi terbaru yang dirilis setelahnya telah memperkenalkan perbaikan keamanan yang memastikan alur kerja publikasi Ultralytics menjadi lebih aman.
Glenn Jocher, pengelola proyek Ultralytics, mengonfirmasi di GitHub bahwa kedua versi tersebut telah terinfeksi oleh kode berbahaya yang disisipkan dalam alur kerja deployment PyPI. Konfirmasi ini muncul setelah laporan yang menyatakan bahwa penginstalan pustaka tersebut menyebabkan lonjakan drastis penggunaan CPU, yang menjadi tanda khas aktivitas penambangan cryptocurrency.
Detail Serangan
Salah satu aspek paling mencolok dari serangan ini adalah bagaimana pelaku ancaman berhasil mengkompromikan lingkungan build terkait proyek tersebut untuk memasukkan modifikasi tidak sah setelah tahap tinjauan kode selesai. Hal ini menyebabkan ketidaksesuaian antara kode sumber yang diterbitkan di PyPI dan repositori GitHub.
“In this case intrusion into the build environment was achieved by a more sophisticated vector, by exploiting a known GitHub Actions Script Injection,” ujar Karlo Zanki dari ReversingLabs.
“Dalam kasus ini, intrusi ke dalam lingkungan build dicapai melalui vektor yang lebih canggih, dengan mengeksploitasi GitHub Actions Script Injection yang sudah diketahui,” jelas Zanki.
Menurut laporan yang dirilis pada Agustus 2024, masalah ini ditemukan dalam ultralytics/actions oleh peneliti keamanan Adnan Khan. Kerentanan ini memungkinkan pelaku ancaman membuat pull request berbahaya untuk mengambil dan mengeksekusi payload pada sistem macOS dan Linux. Dalam kasus ini, pull request berasal dari akun GitHub bernama openimbot, yang mengklaim berasosiasi dengan OpenIM SDK.
Tanggapan dan Mitigasi
ComfyUI, yang menjadikan Ultralytics sebagai salah satu dependensinya, menyatakan telah memperbarui ComfyUI Manager untuk memperingatkan pengguna jika mereka menjalankan salah satu versi yang terinfeksi. Pengguna perpustakaan tersebut disarankan segera memperbarui ke versi terbaru.
“It seems that the malicious payload served was simply an XMRig miner, and that the malicious functionality was aimed at cryptocurrency mining,” tambah Zanki. “But it is not hard to imagine what the potential impact and the damage could be if threat actors decided to plant more aggressive malware like backdoors or remote access trojans (RATs).”
“Sepertinya payload berbahaya yang digunakan hanyalah XMRig miner, dan fungsionalitas berbahaya tersebut ditujukan untuk penambangan cryptocurrency,” lanjut Zanki. “Namun, tidak sulit membayangkan potensi dampak dan kerusakan yang bisa terjadi jika pelaku ancaman memutuskan untuk menanam malware yang lebih agresif, seperti backdoor atau trojan akses jarak jauh (RAT).”
Insiden ini kembali mengingatkan akan pentingnya mengamankan lingkungan pengembangan dan memperketat alur kerja publikasi perangkat lunak untuk mencegah serangan serupa di masa depan.