हाल ही में, विकसित कर्ताओं को खुले स्रोत कोड यूनिट लाइब्ररी में नेटवर्क पर हमले का लक्ष्य बना रहे हैं, और हैकर्स ने बदमाश सॉफ़्टवेयर पैकेज का उपयोग करके सप्लाई चेन हमले की रणनीति को बढ़ाए लाइन पर ले आए हैं, और अब यह तक फैल गया है कि बनाये गये बुद्धिमान कंप्यूटर नेटवर्क (AI) फ़्रेमवर्क और बदमाश मशीन लर्निंग (ML) मॉडल तक। हाल ही में एक शोध के अनुसार, हैकर्स ने एलियून क्लाउड AI लैब के विकसित कर्मचारियों द्वारा बनाए गए टूलपैक की तरह बदमाश सॉफ़्टवेयर पैकेज अपलोड करके यह हमला सफल रूप से कर दिया।
शोधकर्ताओं ने Python Package Index (PyPI) पर तीन बदमाश सॉफ़्टवेयर पैकेज पाए हैं, जो एलियून क्लाउड AI लैब के SDK को धोखाधड़ी करते हैं और कोई भी वैध कार्य नहीं करते हैं। इन बदमाश पैकेजों ने Pickle फ़ॉर्मैट में संचित बदमाश ML मॉडल का उपयोग करके उपयोगकर्ता के वातावरण से जानकारी चोरी की और उसे हमलावरों के नियंत्रण वाले सर्वर पर भेज दिया।
इमेज स्रोत संकेत: इमेज AI द्वारा बनाई गई है, Midjourney के बाहरी अनुमति प्रदाता
हैकर्स ने ML मॉडल में बनाये गये बदमाश कोड का उपयोग क्यों किया है, यह कारण हो सकता है कि वर्तमान में सुरक्षा उपकरण बस हाल ही में ML फ़ाइल फ़ॉर्मैट में बदमाश गतिविधियों का डिटेक्शन करने का समर्थन करने लगे हैं, और इन्हें पास करने के लिए पाठ्य सामग्री भेजने के रूप में नहीं, बल्कि अनुमोदित कोड के वितरण के रूप में देखा जाता है।
Pickle, Python का एक औपचारिक मॉड्यूल है जिसका उपयोग ऑब्जेक्ट सीरियलाइज़ करने के लिए किया जाता है, और यह PyTorch लाइब्ररी से संबंधित ML मॉडल को संचित करने के लिए बहुत प्रचलित है। PyTorch के AI विकसित कर्ताओं में बढ़ते उपयोग के साथ, Pickle फ़ॉर्मैट भी बढ़ता जा रहा है। हालांकि, हैकर्स ने इसी फ़ॉर्मैट का उपयोग करके Hugging Face जैसी प्लेटफ़ॉर्मों पर बदमाश मॉडल अपलोड कर लिए हैं। हालांकि, Hugging Face ने खतरनाक संभावनाओं का पता लगाने के लिए ओपन सोर्स टूल Picklescan का उपयोग कर रहा है, लेकिन शोधकर्ताओं ने इसके चारों ओर बाहरी डिटेक्शन की संभावना भी संदिग्ध कर दी है।
इस हमले के तीन बदमाश पैकेज जो aliyun-ai-labs-snippets-sdk, ai-labs-snippets-sdk और aliyun-ai-labs-sdk हैं, जिन्हें कुल 1600 बार डाउनलोड किया गया है, हालाँकि उन्हें अपने पहले दिन ही पता चलने पर हटा दिया गया है। विकसित कर्ताओं के कंप्यूटर में अक्सर कई प्रकार के क्रेडेंशियल, API टोकेन और अन्य सेवा एक्सेस की जरूरतें होती हैं, इसलिए उनकी हार से, हमलावर बारी-बारी से विस्तारित हो सकते हैं और प्रणाली को और गहरे में निर्णायक हो सकते हैं।
इन बदमाश SDK ने __init__.py स्क्रिप्ट का उपयोग करके बदमाश PyTorch मॉडल लोड किए हैं, जो बेस64 एन्कोड किए गए कोड को लागू करते हैं, जिनका उद्देश्य है उपयोगकर्ता की लॉगिन जानकारी, नेटवर्क पता और मशीन से जुड़े इंस्टीट्यूशन का नाम चोरी करना है। यह ध्यान देने योग्य है कि इन बदमाश कोडों का मुख्य लक्ष्य शायद चीन के विकसित कर्ताओं है, क्योंकि Alibaba Cloud SDK इस सेवा के प्रयोगकर्ताओं को अधिक प्रभावित करता है। हालाँकि, इस तकनीक का उपयोग अन्य किसी भी विकसित कर्ता के खिलाफ भी किया जा सकता है, बस उनके बदले लालच दिखायी देने के लिए।
यह हमला मशीन लर्निंग मॉडल फ़ाइल फ़ॉर्मैट के सुरक्षा जोखिम के बारे में सूचित करता है जो अभी भी अपनी शुरुआती चरणों में है, और वर्तमान सुरक्षा उपकरण बदमाश ML मॉडल को जांचने में बहुत अधिक सुधार चाहिए।