PyTorch mashina o'rganish tizimini ishlab chiqish uchun foydalanilgan infratuzilmaga qilingan hujum tafsilotlari oshkor bo'ldi. Ushbu hujum loyihaning GitHub va AWSdagi relizlar omborlariga ixtiyoriy ma'lumotlarni joylashtirish uchun yetarli bo'lgan kirish kalitlarini ajratib olishga, shuningdek, omborning asosiy filialiga kod kiritishga va qaramliklar orqali orqa eshikni kiritishga imkon berdi. PyTorch relizlarining soxtalashtirilishi Google, Meta, Boeing va Lockheed Martin kabi yirik kompaniyalarga hujum qilish uchun ishlatilishi mumkin edi, ular o'z loyihalarida PyTorchdan foydalanadilar. Meta tadqiqotchilarga muammo haqida ma'lumot uchun o'zining xatolarni aniqlash dasturi orqali 16 250 dollar to'ladi.
Hujumning mohiyati kodingizni bajarish qobiliyatidir serverlar uzluksiz integratsiya, bu omborga yuborilgan yangi o'zgarishlarni sinab ko'rish uchun vazifalarni qayta tiklaydi va ishga tushiradi. Muammo GitHub Actions bilan o'zlarining tashqi "Self-Hosted Runner" ishlov beruvchilaridan foydalanadigan loyihalarga ta'sir qiladi. An'anaviy GitHub Actionsdan farqli o'laroq, Self-Hosted ishlov beruvchilari GitHub infratuzilmasi ichida emas, balki mustaqil ravishda ishlaydi. serverlar yoki virtual ishlab chiquvchilar tomonidan qo'llab-quvvatlanadigan mashinalar.
O'z serverlaringizda yig'ish ishlarini bajarish sizga kompaniyaning ichki tarmog'ini skanerlash, mahalliy fayl tizimida shifrlash kalitlari va kirish tokenlarini qidirish va tashqi xotira yoki bulut xizmatlariga kirish parametrlari bilan muhit o'zgaruvchilarini tahlil qilish imkonini beradi. Yig'ish muhitini to'g'ri izolyatsiya qilmasdan, aniqlangan maxfiy ma'lumotlar tashqi tomondan, masalan, tashqi API-larga qo'ng'iroqlar orqali hujumchilarga yuborilishi mumkin. Ommaviy mavjud ish oqimi fayllari va CI ishlarini bajarish jurnallarini tahlil qiluvchi Gato vositasidan loyihalar Self-Hosted Runner-dan foydalanayotganligini aniqlash uchun foydalanish mumkin.
PyTorch va Self-Hosted Runner dan foydalanadigan boshqa ko'plab loyihalarda, faqat o'zgarishlari ilgari ko'rib chiqilgan va loyihaning kod bazasiga kiritilgan ishlab chiquvchilarga qurish ishlarini bajarishga ruxsat beriladi. Standart ombor sozlamalaridan foydalanganda "hissa qo'shuvchi" maqomiga ega bo'lish sizga tortish so'rovlarini yuborishda GitHub Actions ishlov beruvchilarini ishga tushirish va shuning uchun kodingizni ombor yoki loyihaning xosting tashkiloti bilan bog'liq har qanday GitHub Actions Runner muhitida bajarish imkonini beradi.
"Hisoblovchi" holatiga havolani chetlab o'tish oson bo'lib chiqdi: shunchaki kichik o'zgartirish kiriting va uning kod bazasiga qabul qilinishini kuting. Shundan so'ng, ishlab chiquvchi avtomatik ravishda faol ishtirokchi maqomini oldi, bu esa pull so'rovlarini CI infratuzilmasida alohida ko'rib chiqmasdan sinab ko'rish imkonini berdi. Tajriba davomida faol ishlab chiquvchi maqomini olish uchun hujjatlardagi xatolarni tuzatish uchun kichik kosmetik o'zgarishlar kiritildi. PyTorch omboriga kirish va xotirani chiqarish uchun hujum "Self-Hosted Runner" da kodni bajarish paytida omborga yaratish jarayonlaridan kirish uchun ishlatiladigan GitHub tokenini, shuningdek, yaratish natijalarini saqlash uchun ishlatiladigan AWS kalitlarini to'sib qo'ydi.
Muammo PyTorchga xos emas va GitHub Actionsβda standart βSelf-Hosted Runnerβ sozlamalaridan foydalanadigan boshqa koβplab yirik loyihalarga taβsir qiladi. Masalan, shunga oβxshash hujumlar haqida xabar berilgan, jumladan, bir nechta yirik kriptovalyuta hamyonlari va milliardlab dollarlik bozor kapitallashuviga ega blokcheyn loyihalariga orqa eshik oβrnatish, Microsoft Deepspeed va TensorFlow versiyalarini oβzgartirish, CloudFlare ilovalaridan birini buzish va Microsoft tarmogβidagi kompyuterda kodni bajarish. Ushbu hodisalarning tafsilotlari hali oshkor qilinmagan. Tadqiqotchilar mavjud xatolarni aniqlash dasturlari orqali bir necha yuz ming dollarlik 20 dan ortiq mukofot soβrovlarini topshirishgan.
Manba: opennet.ru
