Mae GitHub yn ymchwilio i gyfres o ymosodiadau lle llwyddodd ymosodwyr i gloddio arian cyfred digidol ar seilwaith cwmwl GitHub gan ddefnyddio mecanwaith GitHub Actions i redeg eu cod. Mae'r ymdrechion cyntaf i ddefnyddio GitHub Actions ar gyfer mwyngloddio yn dyddio'n Γ΄l i fis Tachwedd y llynedd.
Mae GitHub Actions yn caniatΓ‘u i ddatblygwyr cod atodi trinwyr i awtomeiddio amrywiol weithrediadau yn GitHub. Er enghraifft, gan ddefnyddio GitHub Actions gallwch gyflawni rhai gwiriadau a phrofion wrth ymrwymo, neu awtomeiddio prosesu Materion newydd. I ddechrau mwyngloddio, mae ymosodwyr yn creu fforch o'r ystorfa sy'n defnyddio GitHub Actions, yn ychwanegu GitHub Actions newydd at eu copi, ac yn anfon cais tynnu i'r ystorfa wreiddiol yn cynnig disodli'r trinwyr GitHub Actions presennol gyda'r newydd β.github/flows /ci.ymlβ triniwr.
Mae'r cais tynnu maleisus yn cynhyrchu sawl ymgais i redeg y triniwr GitHub Actions a bennir gan yr ymosodwr, sydd ar Γ΄l 72 awr yn cael ei dorri oherwydd goramser, yn methu, ac yna'n rhedeg eto. Er mwyn ymosod, dim ond cais tynnu y mae angen i ymosodwr ei greu - mae'r triniwr yn rhedeg yn awtomatig heb unrhyw gadarnhad na chyfranogiad gan y cynhalwyr ystorfa wreiddiol, a all gymryd lle gweithgaredd amheus yn unig a rhoi'r gorau i redeg Gweithredoedd GitHub eisoes.
Yn y triniwr ci.yml a ychwanegwyd gan yr ymosodwyr, mae'r paramedr βrhedegβ yn cynnwys cod obfuscated (eval β$ (adlais 'YXB0IHVwZGF0ZSAtβ¦' | base64 -d"), sydd, pan gaiff ei weithredu, yn ceisio lawrlwytho a rhedeg y rhaglen gloddio. Yn yr amrywiadau cyntaf o'r ymosodiad o wahanol gadwrfeydd, uwchlwythwyd rhaglen o'r enw npm.exe i GitHub a GitLab a'i chrynhoi i ffeil ELF gweithredadwy ar gyfer Alpine Linux (a ddefnyddir mewn delweddau Docker). Mae ffurfiau mwy newydd o'r ymosodiad yn lawrlwytho cod generig GlΓΆwr XMRig o ystorfa swyddogol y prosiect, sydd wedyn yn cael ei lunio gyda waled amnewid cyfeiriad a gweinyddwyr ar gyfer anfon data.
Ffynhonnell: opennet.ru