PyTorch Lightning AI 라이브러리서 악성코드 발견
원제: Shai-Hulud Themed Malware Found in the PyTorch Lightning AI Training Library
왜 중요한가
AI 개발 핵심 라이브러리 대상 공급망 공격으로 AI 생태계 보안 강화 필요성 부각
보안업체 Semgrep이 AI 모델 훈련에 널리 사용되는 PyTorch Lightning 라이브러리에서 'Shai-Hulud' 테마의 악성코드를 발견했다고 발표했다. 이는 AI 개발 환경을 겨냥한 공급망 공격의 새로운 사례로 분석된다.
Semgrep은 자사 블로그를 통해 인기 AI 훈련 라이브러리인 PyTorch Lightning에서 악성 의존성 패키지가 발견됐다고 공개했다. 해당 악성코드는 소설 '듄(Dune)'에 등장하는 거대한 모래벌레 'Shai-Hulud'를 테마로 명명됐다. PyTorch Lightning은 딥러닝 모델 개발과 훈련을 위해 광범위하게 사용되는 오픈소스 프레임워크로, 많은 AI 연구자와 개발자들이 의존하고 있다. 이번 발견은 AI 개발 생태계를 겨냥한 소프트웨어 공급망 공격이 증가하고 있음을 보여주는 사례다. Semgrep은 이러한 위협으로부터 보호하기 위해 자사의 공급망 보안 솔루션과 오픈소스 악성코드 보호 기능을 활용할 것을 권장했다. 해당 악성코드의 구체적인 동작 방식과 피해 규모에 대한 상세 분석은 추가적으로 공개될 예정이다.