GitHub vyšetřuje sérii útoků, při kterých se útočníkům podařilo těžit kryptoměnu na cloudové infrastruktuře GitHub pomocí mechanismu GitHub Actions ke spuštění jejich kódu. První pokusy o využití akcí GitHub pro těžbu se datují do listopadu loňského roku.
Akce GitHub umožňuje vývojářům kódu připojit obslužné nástroje pro automatizaci různých operací na GitHubu. Například pomocí akcí GitHub můžete provádět určité kontroly a testy při provádění odevzdání nebo automatizovat zpracování nových problémů. Aby mohli útočníci zahájit těžbu, vytvoří rozvětvení úložiště, které používá akce GitHub, přidají do své kopie nové akce GitHub a odešlou požadavek na stažení do původního úložiště s návrhem nahradit stávající obslužné nástroje akcí GitHub novými „.github/workflows“. /ci.yml” handler.
Škodlivý požadavek na stažení generuje několik pokusů o spuštění obslužné rutiny akcí GitHub specifikované útočníkem, která se po 72 hodinách přeruší kvůli vypršení časového limitu, selže a poté se znovu spustí. K útoku útočníkovi stačí vytvořit požadavek na stažení – handler se spustí automaticky bez jakéhokoli potvrzení nebo účasti od původních správců úložiště, kteří mohou pouze nahradit podezřelou aktivitu a zastavit již spuštěné akce GitHub.
V obslužné rutině ci.yml přidané útočníky obsahuje parametr „run“ obfuskovaný kód (eval „$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d“), který se po spuštění pokusí stáhnout a spustit těžební program. V prvních variantách útoku z různých úložišť Program nazvaný npm.exe byl nahrán na GitHub a GitLab a zkompilován do spustitelného souboru ELF pro Alpine Linux (používaný v obrázcích Docker). Novější formy útoku stáhněte si kód generického XMRig těžař z oficiálního úložiště projektu, který je následně postaven s peněženkou pro náhradu adresy a servery pro odesílání dat.
Zdroj: opennet.ru