Giimbistigar sa GitHub ang sunodsunod nga mga pag-atake diin ang mga tig-atake nakahimo sa pagmina sa cryptocurrency sa GitHub cloud infrastructure gamit ang mekanismo sa GitHub Actions sa pagpadagan sa ilang code. Ang unang pagsulay sa paggamit sa GitHub Actions para sa pagmina gipetsahan balik sa Nobyembre sa miaging tuig.
Gitugotan sa GitHub Actions ang mga nag-develop sa code nga mag-attach sa mga handler aron ma-automate ang lainlaing mga operasyon sa GitHub. Pananglitan, gamit ang GitHub Actions mahimo nimong buhaton ang pipila ka mga pagsusi ug pagsulay kung magbuhat, o awtomatiko ang pagproseso sa mga bag-ong Isyu. Sa pagsugod sa pagmina, ang mga tig-atake maghimo ug tinidor sa repositoryo nga naggamit sa GitHub Actions, magdugang ug bag-ong GitHub Actions sa ilang kopya, ug magpadala ug pull request sa orihinal nga repositoryo nga nagsugyot nga pulihan ang kasamtangang GitHub Actions handler sa bag-ong β.github/workflows /ci.yml" nga tigdumala.
Ang malisyosong hangyo sa pagbira nagmugna og daghang pagsulay sa pagpadagan sa tig-atake nga gipiho sa GitHub Actions handler, nga human sa 72 ka oras mabalda tungod sa usa ka timeout, mapakyas, ug dayon modagan pag-usab. Sa pag-atake, ang usa ka tig-atake kinahanglan lang nga maghimo usa ka hangyo sa pagbitad - ang tigdumala awtomatik nga modagan nga walaβy bisan unsang kumpirmasyon o pag-apil gikan sa orihinal nga mga tagdumala sa tipiganan, nga mahimo ra makapuli sa kadudahang kalihokan ug mohunong na sa pagdagan sa GitHub Actions.
Sa ci.yml handler nga gidugang sa mga tig-atake, ang "run" nga parameter adunay obfuscated code (eval "$(echo 'YXB0IHVwZGF0ZSAtβ¦' | base64 -d"), nga, kung gipatuman, mosulay sa pag-download ug pagpadagan sa programa sa pagmina. Sa unang mga variant sa pag-atake gikan sa lain-laing mga repository Usa ka programa nga gitawag npm.exe ang gi-upload sa GitHub ug GitLab ug gihugpong ngadto sa usa ka executable ELF file para sa Alpine Linux (gigamit sa Docker nga mga hulagway.) Ang mas bag-ong mga porma sa pag-atake i-download ang code sa generic nga XMRig minero gikan sa opisyal nga repositoryo sa proyekto, nga unya gitukod uban ang address substitution wallet ug mga server alang sa pagpadala sa datos.
Source: opennet.ru