GitHub investiga una seria di attacchi in i quali l'attaccanti anu sappiutu di minà a criptografia di munita in l'infrastruttura di nuvola di GitHub utilizendu u mecanismu GitHub Actions per eseguisce u so codice. I primi tentativi d'utilizà GitHub Actions per a minera datate di nuvembre di l'annu passatu.
GitHub Actions permette à i sviluppatori di codice per aghjunghje i gestori per automatizà diverse operazioni in GitHub. Per esempiu, aduprendu GitHub Actions, pudete fà certi cuntrolli è teste quandu si impegnanu, o automatizà u trattamentu di novi Problemi. Per inizià a minera, l'attaccanti creanu una furchetta di u repository chì usa GitHub Actions, aghjunghjenu una nova GitHub Actions à a so copia, è mandà una dumanda di pull à u repository originale chì prupone di rimpiazzà i gestori GitHub Actions esistenti cù u novu ".github/workflows. /ci.yml" handler.
A dumanda di pull maliciosa genera parechji tentativi di eseguisce u gestore di GitHub Actions specificatu da l'attaccante, chì dopu à 72 ore hè interrottu per un timeout, fallisce, è poi corre di novu. Per attaccà, un attaccu solu hà bisognu di creà una dumanda di pull - u gestore corre automaticamente senza alcuna cunferma o participazione da i mantenitori di u repository originali, chì ponu solu rimpiazzà l'attività sospetta è cessà di eseguisce GitHub Actions.
In u ci.yml handler aghjuntu da l'attaccanti, u paràmetru "run" cuntene codice offuscatu (eval "$(echo 'YXB0IHVwZGF0ZSAt...' | base64 -d"), chì, quandu eseguitu, prova di scaricà è eseguisce u prugramma di minatura. In i primi varianti di l'attaccu da diversi repositori, un prugramma chjamatu npm.exe hè stata caricata in GitHub è GitLab è compilatu in un file ELF eseguibile per Alpine Linux (usatu in l'imaghjini di Docker di l'attaccu scaricate u codice di un genericu). XMRig miner da u repositoriu ufficiale di u prughjettu, chì hè poi compilatu cù a sustituzione di l'indirizzu è i servitori per mandà dati.
Source: opennet.ru