Los usuarios que han descargados las llamadas "nightly builds" de las librerías del paquete PyTorch entre el 25 de diciembre de 2022 y el 30 de diciembre de 2022 deberían desinstalarlas y descargar las últimas versiones, según han recomendado las personas encargadas del mantenimiento de estas librerías que hablan de un ataque de "confusión de dependencias".

"Los paquetes PyTorch-nightly Linux instalados a durante ese tiempo instalaron una dependencia, de nombre torchtriton, que se vio comprometida en el repositorio de código Python Package Index (PyPI) y ejecutó un binario malicioso", dijo el equipo de PyTorch en una alerta.

En Genbeta

PyTorch pasa a formar parte de la Fundación Linux: el framework creado por Meta para el desarrollo de la IA cambia de manos

PyTorch es un marco de aprendizaje automático de código abierto basado en Python que fue desarrollado originalmente por Meta Platforms. El equipo de PyTorch se enteró del ataque en noche del 30 de diciembre. El ataque a la cadena de suministro consistió en subir la copia con malware de una dependencia legítima llamada torchtriton al repositorio de código Python Package Index (PyPI).

Cómo fue este ataque

Hay que recordar que expertos en seguridad hablan de que los ataques a la cadena de suministro, como los vividos en el caso de Solarwinds pueden convertirse en fuerte tendencia por ser muy eficientes. Un tipo de malware que “aumentará para llegar de una forma rápida a …