GitHub està investigant una sèrie d'atacs en què els atacants van aconseguir explotar criptomoneda a la infraestructura del núvol de GitHub mitjançant el mecanisme d'Accions de GitHub per executar el seu codi. Els primers intents d'utilitzar GitHub Actions per a la mineria es remunten al novembre de l'any passat.
GitHub Actions permet als desenvolupadors de codi adjuntar controladors per automatitzar diverses operacions a GitHub. Per exemple, utilitzant les accions de GitHub podeu realitzar determinades comprovacions i proves en comprometre's o automatitzar el processament de nous problemes. Per començar la mineria, els atacants creen una bifurcació del dipòsit que utilitza GitHub Actions, afegeixen una nova GitHub Actions a la seva còpia i envien una sol·licitud d'extracció al dipòsit original proposant substituir els gestors d'accions de GitHub existents pel nou ".github/workflows". /ci.yml”.
La sol·licitud d'extracció maliciosa genera diversos intents d'executar el gestor d'accions de GitHub especificat per l'atacant, que després de 72 hores s'interromp a causa d'un temps d'espera, falla i torna a executar-se. Per atacar, un atacant només ha de crear una sol·licitud d'extracció: el gestor s'executa automàticament sense cap confirmació ni participació dels responsables del dipòsit original, que només poden substituir l'activitat sospitosa i deixar d'executar les accions de GitHub.
Al controlador ci.yml afegit pels atacants, el paràmetre "executa" conté codi ofuscat (eval "$(echo 'YXB0IHVwZGF0ZSAt...' | base64 -d"), que, quan s'executa, intenta descarregar i executar el programa de mineria. En les primeres variants de l'atac des de diferents repositoris, es va penjar un programa anomenat npm.exe a GitHub i GitLab i es va compilar en un fitxer ELF executable per a Alpine Linux (utilitzat a les imatges de Docker). Les formes més noves de l'atac descarreguen el codi d'un genèric. XMRig miner del dipòsit oficial del projecte, que després es compila amb cartera de substitució d'adreces i servidors per enviar dades.
Font: opennet.ru