GitHub istražuje niz napada u kojima su napadači uspjeli da iskopaju kriptovalute na GitHub cloud infrastrukturi koristeći mehanizam GitHub Actions za pokretanje svog koda. Prvi pokušaji korištenja GitHub Actions za rudarenje datiraju iz novembra prošle godine.
GitHub Actions omogućava programerima koda da pridruže rukovaoce za automatizaciju različitih operacija u GitHubu. Na primjer, pomoću GitHub Actions možete izvršiti određene provjere i testove prilikom urezivanja ili automatizirati obradu novih problema. Da bi započeli rudarenje, napadači kreiraju viljušku spremišta koje koristi GitHub Akcije, dodaju nove GitHub Akcije u njihovu kopiju i pošalju zahtjev za povlačenje originalnom spremištu predlažući zamjenu postojećih GitHub Actions rukovatelja s novim „.github/workflows /ci.yml” rukovalac.
Zlonamjerni zahtjev za povlačenjem generiše višestruke pokušaje pokretanja napadača specificiranog GitHub Actions rukovaoca, koji se nakon 72 sata prekida zbog isteka vremena, ne uspijeva, a zatim se ponovo pokreće. Za napad, napadač treba samo da kreira zahtjev za povlačenjem – rukovalac se pokreće automatski bez ikakve potvrde ili učešća od strane originalnih održavatelja spremišta, koji mogu samo zamijeniti sumnjivu aktivnost i zaustaviti već pokretanje GitHub Actions.
U ci.yml rukovatelju koji su dodali napadači, parametar “run” sadrži zamagljeni kod (eval “$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d”), koji, kada se izvrši, pokušava da preuzme i pokrene program za rudarenje. U prvim varijantama napada iz različitih spremišta Program pod nazivom npm.exe je postavljen na GitHub i GitLab i kompajliran u izvršnu ELF datoteku za Alpine Linux (koristi se u Docker slikama.) Noviji oblici napada preuzimaju kod generičkog XMRig-a miner iz zvaničnog repozitorija projekta, koji se zatim gradi sa novčanikom za zamjenu adrese i serverima za slanje podataka.
izvor: opennet.ru