GitHub ondersoek 'n reeks aanvalle waarin aanvallers daarin geslaag het om kriptogeldeenhede op die GitHub-wolkinfrastruktuur te ontgin deur die GitHub Actions-meganisme te gebruik om hul kode uit te voer. Die eerste pogings om GitHub Actions vir mynbou te gebruik, dateer uit November verlede jaar.
GitHub Actions laat kode-ontwikkelaars toe om hanteerders aan te heg om verskeie bewerkings in GitHub te outomatiseer. Byvoorbeeld, met behulp van GitHub Actions kan jy sekere kontroles en toetse uitvoer wanneer jy pleeg, of die verwerking van nuwe kwessies outomatiseer. Om te begin ontgin, skep aanvallers 'n vurk van die bewaarplek wat GitHub Actions gebruik, voeg 'n nuwe GitHub Actions by hul kopie, en stuur 'n trekversoek na die oorspronklike bewaarplek wat voorstel om die bestaande GitHub Actions-hanteerders te vervang met die nuwe ".github/workflows /ci.ymlβ hanteerder.
Die kwaadwillige trekversoek genereer veelvuldige pogings om die aanvaller-gespesifiseerde GitHub Actions-hanteerder te laat loop, wat na 72 uur onderbreek word as gevolg van 'n uitteltyd, misluk en dan weer loop. Om aan te val, hoef 'n aanvaller net 'n trekversoek te skep - die hanteerder loop outomaties sonder enige bevestiging of deelname van die oorspronklike bewaarders van die bewaarplek, wat slegs verdagte aktiwiteit kan vervang en ophou om reeds GitHub-aksies te laat loop.
In die ci.yml-hanteerder wat deur die aanvallers bygevoeg is, bevat die βrunβ-parameter verduisterde kode (eval β$(echo 'YXB0IHVwZGF0ZSAtβ¦' | base64 -dβ), wat, wanneer dit uitgevoer word, probeer om die mynprogram af te laai en te laat loop. In die eerste variante van die aanval vanaf verskillende bewaarplekke 'n Program genaamd npm.exe is na GitHub en GitLab opgelaai en saamgestel in 'n uitvoerbare ELF-lΓͺer vir Alpine Linux (gebruik in Docker-beelde.) Nuwer vorme van aanval laai die kode van 'n generiese XMRig af mynwerker van die amptelike projekbewaarplek, wat dan gebou word met adresvervangingsbeursie en bedieners om data te stuur.
Bron: opennet.ru