PyTorch మెషీన్ లెర్నింగ్ ఫ్రేమ్వర్క్ అభివృద్ధిలో ఉపయోగించిన అవస్థాపనపై దాడి వివరాలు వెల్లడయ్యాయి, ఇది GitHub మరియు AWSలో ప్రాజెక్ట్ విడుదలలతో పాటు రిపోజిటరీలో ఏకపక్ష డేటాను ఉంచడానికి, అలాగే కోడ్ను ప్రత్యామ్నాయంగా ఉంచడానికి సరిపోయే యాక్సెస్ కీలను సేకరించడం సాధ్యం చేసింది. రిపోజిటరీ యొక్క ప్రధాన శాఖలో మరియు డిపెండెన్సీల ద్వారా బ్యాక్డోర్ను జోడించండి. PyTorch విడుదల స్పూఫింగ్ వారి ప్రాజెక్ట్లలో PyTorchని ఉపయోగించే Google, Meta, Boeing మరియు Lockheed Martin వంటి పెద్ద కంపెనీలపై దాడి చేయడానికి ఉపయోగించబడుతుంది. బగ్ బౌంటీ కార్యక్రమంలో భాగంగా, సమస్య గురించిన సమాచారం కోసం Meta పరిశోధకులకు $16250 చెల్లించింది.
రిపోజిటరీకి పంపబడిన కొత్త మార్పులను పరీక్షించడానికి రీబిల్డ్లను మరియు రన్ జాబ్లను అమలు చేసే నిరంతర ఇంటిగ్రేషన్ సర్వర్లలో మీ కోడ్ను అమలు చేయగల సామర్థ్యం దాడి యొక్క సారాంశం. GitHub చర్యలతో వారి స్వంత బాహ్య "స్వీయ-హోస్ట్ రన్నర్" హ్యాండ్లర్లను ఉపయోగించే ప్రాజెక్ట్లను ఈ సమస్య ప్రభావితం చేస్తుంది. సాంప్రదాయ GitHub చర్యల వలె కాకుండా, స్వీయ-హోస్ట్ హ్యాండ్లర్లు GitHub ఇన్ఫ్రాస్ట్రక్చర్పై అమలు చేయరు, కానీ వారి స్వంత సర్వర్లలో లేదా డెవలపర్-నిర్వహించే వర్చువల్ మెషీన్లలో.
మీ సర్వర్లలో అసెంబ్లీ టాస్క్లను అమలు చేయడం వలన మీరు ఎంటర్ప్రైజ్ యొక్క అంతర్గత నెట్వర్క్ను స్కాన్ చేయగల కోడ్ యొక్క ప్రారంభాన్ని నిర్వహించడానికి, ఎన్క్రిప్షన్ కీలు మరియు యాక్సెస్ టోకెన్ల కోసం స్థానిక FSని శోధించవచ్చు మరియు బాహ్య నిల్వ లేదా క్లౌడ్ సేవలను యాక్సెస్ చేయడానికి పారామితులతో పర్యావరణ వేరియబుల్లను విశ్లేషించడానికి మిమ్మల్ని అనుమతిస్తుంది. అసెంబ్లీ వాతావరణంలో సరైన ఐసోలేషన్ లేనప్పుడు, కనుగొనబడిన రహస్య డేటాను బయట దాడి చేసేవారికి పంపవచ్చు, ఉదాహరణకు, బాహ్య APIలకు యాక్సెస్ ద్వారా. ప్రాజెక్ట్ల ద్వారా సెల్ఫ్-హోస్ట్ చేసిన రన్నర్ వినియోగాన్ని నిర్ణయించడానికి, పబ్లిక్గా యాక్సెస్ చేయగల వర్క్ఫ్లో ఫైల్లు మరియు CI టాస్క్ లాంచ్ లాగ్లను విశ్లేషించడానికి Gato టూల్కిట్ ఉపయోగించవచ్చు.
PyTorch మరియు స్వీయ-హోస్ట్ చేసిన రన్నర్ని ఉపయోగించే అనేక ఇతర ప్రాజెక్ట్లలో, డెవలపర్లు మాత్రమే ఇంతకుముందు పీర్-రివ్యూ చేసి ప్రాజెక్ట్ కోడ్బేస్లో చేర్చబడిన మార్పులను బిల్డ్ జాబ్లను అమలు చేయడానికి అనుమతించబడతారు. రిపోజిటరీలో డిఫాల్ట్ సెట్టింగ్లను ఉపయోగిస్తున్నప్పుడు “కంట్రిబ్యూటర్” స్థితిని కలిగి ఉండటం వలన పుల్ రిక్వెస్ట్లను పంపేటప్పుడు GitHub యాక్షన్ హ్యాండ్లర్లను ప్రారంభించడం సాధ్యపడుతుంది మరియు తదనుగుణంగా, రిపోజిటరీ లేదా ప్రాజెక్ట్ను పర్యవేక్షిస్తున్న సంస్థతో అనుబంధించబడిన ఏదైనా GitHub యాక్షన్స్ రన్నర్ వాతావరణంలో మీ కోడ్ని అమలు చేయండి.
“కంట్రిబ్యూటర్” స్థితికి లింక్ బైపాస్ చేయడం సులభం అని తేలింది - ముందుగా ఒక చిన్న మార్పును సమర్పించి, కోడ్ బేస్లోకి అంగీకరించబడే వరకు వేచి ఉంటే సరిపోతుంది, ఆ తర్వాత డెవలపర్ స్వయంచాలకంగా చురుకుగా పాల్గొనే స్థితిని అందుకుంటారు, ఎవరి పుల్ రిక్వెస్ట్లు ప్రత్యేక ధృవీకరణ లేకుండా CI ఇన్ఫ్రాస్ట్రక్చర్లో పరీక్షించడానికి అనుమతించబడతాయి. యాక్టివ్ డెవలపర్ స్థితిని సాధించడానికి, డాక్యుమెంటేషన్లో అక్షరదోషాలను సరిచేయడానికి ప్రయోగంలో చిన్న సౌందర్య మార్పులు ఉన్నాయి. PyTorch విడుదలల రిపోజిటరీ మరియు స్టోరేజ్కి యాక్సెస్ పొందడానికి, “సెల్ఫ్-హోస్ట్ చేసిన రన్నర్”లో కోడ్ని అమలు చేస్తున్నప్పుడు జరిగిన దాడి, బిల్డ్ ప్రాసెస్ల నుండి రిపోజిటరీని యాక్సెస్ చేయడానికి ఉపయోగించే GitHub టోకెన్ను అలాగే బిల్డ్ ఫలితాలను సేవ్ చేయడానికి ఉపయోగించే AWS కీలను అడ్డగించింది. .
సమస్య PyTorchకి ప్రత్యేకమైనది కాదు మరియు GitHub చర్యలలో "సెల్ఫ్-హోస్ట్ చేసిన రన్నర్" కోసం డిఫాల్ట్ సెట్టింగ్లను ఉపయోగించే అనేక ఇతర పెద్ద ప్రాజెక్ట్లను ప్రభావితం చేస్తుంది. ఉదాహరణకు, బిలియన్-డాలర్ క్యాపిటలైజేషన్తో కొన్ని పెద్ద క్రిప్టోకరెన్సీ వాలెట్లు మరియు బ్లాక్చెయిన్ ప్రాజెక్ట్లలో బ్యాక్డోర్ను ఇన్స్టాల్ చేయడం, మైక్రోసాఫ్ట్ డీప్స్పీడ్ మరియు టెన్సర్ఫ్లో విడుదలలలో మార్పులు చేయడం, క్లౌడ్ఫ్లేర్ అప్లికేషన్లలో ఒకదానితో రాజీ పడడం మరియు అమలు చేయడం వంటి వాటి అమలు గురించి ప్రస్తావించబడింది. మైక్రోసాఫ్ట్ నెట్వర్క్లోని కంప్యూటర్లో కోడ్. ఈ ఘటనలకు సంబంధించిన వివరాలు ఇంకా వెల్లడి కాలేదు. ఇప్పటికే ఉన్న బగ్ బౌంటీ ప్రోగ్రామ్ల క్రింద, పరిశోధకులు అనేక లక్షల డాలర్ల విలువైన రివార్డ్ల కోసం 20 కంటే ఎక్కువ దరఖాస్తులను సమర్పించారు.
మూలం: opennet.ru