腾讯云今日发布 Xinference 供应链投毒风险通告。
腾讯云安全中心监测到,Xinference 被披露其存在供应链投毒风险。可导致攻击者在用户安装或导入受影响版本的包时,窃取云凭证、API 密钥、SSH 密钥、加密钱包、数据库凭据及环境变量等高度敏感信息,并发送至远程命令与控制(C2)服务器。
风险详情
Xorbits Inference(Xinference)是一个 AI 模型部署工具,让用户可以用最简单的方式运行和管理各种 AI 模型,适用于研究、开发和实际应用。
据描述,在 PyPI 仓库的 Xinference 包 2.6.0、2.6.1 及 2.6.2 版本中,由于攻击者通过入侵合法贡献者的账户(或利用自动化机器人),在项目的 init.py 初始化文件中植入了经过多层混淆(Base64 编码)的恶意载荷。当开发者安装受影响的包或在代码中执行 import xinference 时,该恶意代码会自动解码并在内存中执行。该恶意软件会遍历系统以收集 AWS / GCP 云服务凭证、Kubernetes 令牌、SSH 密钥、多种加密货币钱包文件、SQL / Redis / MongoDB 等数据库连接字符串、Shell 历史记录及系统环境变量,随后将这些窃取的数据打包并回传至预先设定的 C2 服务器域名。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/279703.html