Linux Foundationのプロジェクト、PyTorch Foundationは2022年12月31日(米国時間)、Python用深層学習用フレームワーク「PyTorch」のnightly版ユーザーに対し「すぐにnightly版とtorchtritonをアンインストールし、最新版をインストールしてください」と呼び掛けた。12月25日から30日の間にpipを介してインストールされたパッケージが侵害されていたとしている。
このパッケージは、Python Package Index(PyPI)コードリポジトリで侵害された悪意あるtorchtritonをインストールし、実行するという。
このtorchtritonは、ユーザーの/etc/hosts、/etc/passwdなどのファイルを読み込み、h4ck.cfdというドメインにアップロードする。
PyTorch Foundationは緩和措置として、「torchtriton」依存関係を「pytorch-triton」に名称変更し、同様の攻撃を防ぐためにPyPIでダミーパッケージを予約したとしている。
PyTorch安定版パッケージのユーザーは、この問題の影響を受けないという。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR