Experti v oblasti kybernetické bezpečnosti odhalili dva zákeřné modely strojového učení (ML) na platformě Hugging Face, které využívaly neobvyklou techniku „poškozených“ souborů Pickle k obcházení detekce.
„Soubory Pickle extrahované z uvedených archivů PyTorch odhalily škodlivý obsah v Pythonu na začátku souboru,“ uvedl bezpečnostní expert společnosti ReversingLabs Karlo Zanki „V obou případech byl škodlivý kód typickým platformově závislým reverzním shellem, který se připojuje k pevně zakódované IP adrese.“
Tento přístup byl pojmenován jako nullifAI, protože zahrnuje jasné pokusy obejít stávající ochranné mechanismy určené k identifikaci škodlivých modelů. Repozitáře na Hugging Face, které obsahují tyto modely:
– glockr1/ballr7
– who-r-u0000/0000000000000000000000000000000000000
Předpokládá se, že tyto modely jsou spíše důkazem konceptu (PoC) než aktivním scénářem útoku na dodavatelský řetězec.
Formát serializace Pickle, běžně používaný pro distribuci modelů strojového učení, byl opakovaně označen za bezpečnostní riziko, protože umožňuje spouštění libovolného kódu ihned po jeho načtení a deserializaci.
Dva modely detekované společností zabývající se kybernetickou bezpečností jsou uloženy ve formátu PyTorch, což není nic jiného než komprimovaný soubor Pickle. Zatímco PyTorch standardně používá pro kompresi formát ZIP, u identifikovaných modelů bylo zjištěno, že jsou komprimovány pomocí formátu 7z.
Toto chování umožnilo modelům zůstat nepovšimnuté a vyhnout se označení jako škodlivé nástrojem Picklescan, který Hugging Face používá k detekci podezřelých souborů Pickle.
„Zajímavé na tomto souboru Pickle je, že serializace objektu — účel souboru Pickle — se přeruší krátce po spuštění škodlivého kódu, což vede k selhání dekompilace objektu,“ uvedl Zanki.
Další analýza odhalila, že takové poškozené soubory Pickle mohou být stále částečně deserializovány díky nesouladu mezi nástrojem Picklescan a způsobem, jakým deserializace funguje, což způsobuje spuštění škodlivého kódu, i když nástroj zobrazí chybovou zprávu. Open-source nástroj byl od té doby aktualizován, aby tuto chybu opravil.
Zdroj: The Hacker News
Zdroj: IT SECURITY NETWORK NEWS
