Os invasores comprometeram os pacotes Ultralytics YOLO publicados no PyPI, o diretório oficial de pacotes Python, comprometendo o ambiente de construção da biblioteca popular para a criação de modelos personalizados de aprendizado de máquina. O código malicioso liberou malware de mineração de criptomoedas nos sistemas que instalaram o pacote, mas os invasores poderiam ter entregado qualquer tipo de malware.
De acordo com pesquisadores do ReversingLabs, os invasores usaram uma exploração conhecida com GitHub Actions para lançar código malicioso durante o processo de construção automatizado, ignorando assim o processo normal de revisão de código. Como resultado, o código estava disponível apenas em um pacote enviado ao PyPI e não no repositório de código no GitHub.
Uma versão trojanizada do Ultralytics no PyPI (8.3.41) foi publicada em 4 de dezembro. Os desenvolvedores do Ultralytics foram alertados em 4 de dezembro. 5, e tentaram lançar uma nova versão (8.3.42) para resolver o problema, mas porque não resolveram. inicialmente eles entenderam a origem do comprometimento, esta versão acabou incluindo o código poderoso. Uma versão limpa e segura (8.3.43) foi finalmente publicada naquele dia.
