يحقق GitHub في سلسلة من الهجمات التي تمكن فيها المهاجمون من استخراج العملات المشفرة على البنية التحتية السحابية لـ GitHub باستخدام آلية GitHub Actions لتشغيل التعليمات البرمجية الخاصة بهم. تعود المحاولات الأولى لاستخدام GitHub Actions للتعدين إلى نوفمبر من العام الماضي.
تسمح إجراءات GitHub لمطوري التعليمات البرمجية بإرفاق معالجات لأتمتة العمليات المختلفة في GitHub. على سبيل المثال، باستخدام إجراءات GitHub، يمكنك إجراء فحوصات واختبارات معينة عند الالتزام، أو أتمتة معالجة المشكلات الجديدة. لبدء التعدين، يقوم المهاجمون بإنشاء تفرع من المستودع الذي يستخدم إجراءات GitHub، وإضافة إجراءات GitHub جديدة إلى نسختهم، وإرسال طلب سحب إلى المستودع الأصلي يقترح استبدال معالجات GitHub Actions الحالية بـ ".github/workflows" الجديد. /ci.yml" المعالج.
ينشئ طلب السحب الضار محاولات متعددة لتشغيل معالج GitHub Actions المحدد من قبل المهاجم، والذي يتم مقاطعته بعد 72 ساعة بسبب انتهاء المهلة، ويفشل، ثم يتم تشغيله مرة أخرى. للهجوم، يحتاج المهاجم فقط إلى إنشاء طلب سحب - يعمل المعالج تلقائيًا دون أي تأكيد أو مشاركة من مشرفي المستودع الأصليين، الذين يمكنهم فقط استبدال النشاط المشبوه وإيقاف تشغيل إجراءات GitHub بالفعل.
في معالج ci.yml الذي أضافه المهاجمون، تحتوي معلمة "run" على رمز مبهم (eval "$(echo 'YXB0IHVwZGF0ZSAt...' | base64 -d")، والذي، عند تنفيذه، يحاول تنزيل برنامج التعدين وتشغيله. في الإصدارات الأولى من الهجوم من مستودعات مختلفة، تم تحميل برنامج يسمى npm.exe إلى GitHub وGitLab وتم تجميعه في ملف ELF قابل للتنفيذ لنظام Alpine Linux (المستخدم في صور Docker.) تقوم أشكال الهجوم الأحدث بتنزيل كود XMRig العام عامل تعدين من مستودع المشروع الرسمي، والذي تم إنشاؤه بعد ذلك بمحفظة استبدال العناوين وخوادم لإرسال البيانات.
المصدر: opennet.ru