GitHub, təcavüzkarların kodlarını işlətmək üçün GitHub Actions mexanizmindən istifadə edərək GitHub bulud infrastrukturunda kriptovalyuta hasil edə bildiyi bir sıra hücumları araşdırır. GitHub Actions-dan mədənçilik üçün istifadə etmək üçün ilk cəhdlər keçən ilin noyabrına təsadüf edir.
GitHub Actions kod tərtibatçılarına GitHub-da müxtəlif əməliyyatları avtomatlaşdırmaq üçün işləyiciləri əlavə etməyə imkan verir. Məsələn, GitHub Fəaliyyətlərindən istifadə edərək, öhdəliklər qəbul edərkən müəyyən yoxlamalar və testlər həyata keçirə və ya yeni Məsələlərin işlənməsini avtomatlaşdıra bilərsiniz. Miningə başlamaq üçün təcavüzkarlar GitHub Actions-dan istifadə edən deponun çəngəlini yaradır, onların surətinə yeni GitHub Actions əlavə edir və mövcud GitHub Fəaliyyətləri işləyicilərini yeni “.github/workflows” ilə əvəz etməyi təklif edən orijinal repozitoriyaya çəkilmə sorğusu göndərirlər. /ci.yml” işləyicisi.
Zərərli çəkmə sorğusu təcavüzkar tərəfindən müəyyən edilmiş GitHub Actions işləyicisini işə salmaq üçün çoxsaylı cəhdlər yaradır, 72 saatdan sonra fasilə səbəbindən kəsilir, uğursuz olur və sonra yenidən işə düşür. Hücum etmək üçün təcavüzkar yalnız çəkmə sorğusu yaratmalıdır - idarəedici yalnız şübhəli fəaliyyəti əvəz edə bilən və artıq GitHub Actions-ın icrasını dayandıra bilən orijinal repozitoriya sahiblərinin heç bir təsdiqi və ya iştirakı olmadan avtomatik işə salınır.
Təcavüzkarlar tərəfindən əlavə edilmiş ci.yml işləyicisində “run” parametri çaşqın koddan ibarətdir (qiymətləndirmə “$(echo 'YXB0IHVwZGF0ZSAt...' | base64 -d”), icra edildikdə mədən proqramını endirməyə və işə salmağa çalışır. proqram.Müxtəlif repozitoriyalardan hücumun ilk variantlarında npm.exe adlı proqram GitHub və GitLab-a yükləndi və Alpine Linux üçün icra edilə bilən ELF faylına yığıldı (Docker şəkillərində istifadə olunur.) Hücumun daha yeni formaları bir faylın kodunu endirin. rəsmi layihə deposundan ümumi XMRig miner, sonra məlumatların göndərilməsi üçün ünvan dəyişdirmə cüzdanı və serverləri ilə tərtib edilir.
Mənbə: opennet.ru