PyTorch telah mengidentifikasi dependensi berbahaya dengan nama yang sama dengan pustaka ‘torchtriton’ kerangka kerja. Ini telah menghasilkan kompromi yang berhasil melalui vektor serangan kebingungan ketergantungan.
Admin PyTorch memperingatkan pengguna yang menginstal PyTorch-nightly selama liburan untuk menghapus kerangka kerja dan ketergantungan ‘torchtriton’ palsu.
Dari visi komputer hingga pemrosesan bahasa alami, kerangka kerja pembelajaran mesin open source PyTorch telah menjadi terkenal baik di bidang komersial maupun akademik.
Antara 25 Desember dan 30 Desember 2022, pengguna yang memasang PyTorch-nightly harus memastikan sistem mereka tidak terganggu, tim PyTorch telah memperingatkan.
Peringatan tersebut mengikuti dependensi ‘torchtriton’ yang muncul selama liburan di registri Python Package Index (PyPI), repositori perangkat lunak resmi pihak ketiga untuk Python.
“Harap copot dan segera obortriton, dan gunakan binari malam terbaru (lebih baru dari 30 Desember 2022),” saran tim PyTorch.
Ketergantungan ‘torchtriton’ berbahaya pada PyPI berbagi nama dengan perpustakaan resmi yang diterbitkan di repo PyTorch-nightly. Namun, saat mengambil dependensi dalam ekosistem Python, PyPI biasanya lebih diutamakan, menyebabkan paket berbahaya ditarik ke mesin Anda, bukan yang sah dari PyTorch.
“Karena indeks PyPI lebih diutamakan, paket berbahaya ini diinstal alih-alih versi dari repositori resmi kami. Desain ini memungkinkan seseorang untuk mendaftarkan paket dengan nama yang sama dengan yang ada di indeks pihak ketiga, dan pip akan menginstalnya versi secara default,” tulis tim PyTorch dalam pengungkapan yang diterbitkan kemarin.
Selengkapnya: Bleeping Computer
