Ultralytics遭供应链投毒攻击

近日，奇安信威胁情报中心发现一起恶性供应链投毒事件。知名开源项目 Ultralytics 的 YOLO11 模型框架于 PyPI 的 v8.3.41 版本被恶意投毒。该项目在 GitHub 星标达 33.6k，用户众多。12 月 5 日起，其 GitHub 页面频现异常反馈。攻击者于 model.py 和 download.py 动手脚。model.py 里的 YOLO 类新增下载代码，依操作系统使初始化时下载挖矿程序 “ultralytics_runner”；download.py 增带钱包、矿池地址的 safe_run 函数，安装后即启挖矿进程。截至 12 月 5 日 18 时，受感染的 Ultralytics 版本已从 PyPi 中删除。