GitHub расследуе серыю нападаў, падчас якіх зламыснікам атрымалася арганізаваць майнінг криптовалюты ў хмарнай інфраструктуры GitHub, выкарыстаючы для запуску свайго кода механізм GitHub Actions. Першыя спробы выкарыстання GitHub Actions для майнінгу датаваны лістападам мінулага года.
GitHub Actions дае магчымасць распрацоўнікам кода прымацоўваць апрацоўшчыкі для аўтаматызацыі розных аперацый у GitHub. Напрыклад, пры дапамозе GitHub Actions можна выканаць пэўныя праверкі і тэсты пры здзяйсненні коммітаў ці аўтаматызаваць апрацоўку новых Issues. Для запуску майнінгу атакавалыя ствараюць форк рэпазітара, у якім выкарыстоўваецца GitHub Actions, дадаюць у сваю копію новы GitHub Actions і адпраўляюць у арыгінальны рэпазітар pull-запыт, які прапануе замену існых апрацоўшчыкаў GitHub Actions на новы апрацоўшчык «.github/workflows/ciyml.
Шкоднасны pull-запыт спараджае шматразовыя спробы запуску зададзенага атакавалым апрацоўшчыка GitHub Actions, які пасля 72 гадзін перарываецца з-за таймаўту, завяршаецца збоем і затым запускаецца ізноў. Для нападу зламысніку дастаткова толькі стварыць pull-запыт - апрацоўшчык запускаецца аўтаматычна без якога-небудзь пацверджання або ўдзелу з боку суправаджаюць арыгінальнага рэпазітара, якія толькі могуць замяніць падазроную актыўнасць і спыніць ужо запушчаныя заданні GitHub Actions.
У дадаваным атакавалымі апрацоўшчыку ci.yml у параметры "run" прысутнічае абфусікаваны код (eval "$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d"), які пры выкананні спрабуе загрузіць і запусціць праграму для майнінгу. У першых варыянтах нападу на GitHub і GitLab загружалася праграма, названая npm.exe і сабраная ў форме выкананага ELF-файла для Alpine Linux (выкарыстоўваецца ў выявах Docker).У навейшых формах нападу загружаецца код тыпавога майнера XMRig з афіцыйнага рэпазітара праекту, які затым збіраецца з падстаноўкай адрасу кашалька і сервераў для адпраўкі дадзеных.
Крыніца: opennet.ru