GitHub efterforsker en række angreb, hvor angribere formåede at mine cryptocurrency på GitHub-skyinfrastrukturen ved hjælp af GitHub Actions-mekanismen til at køre deres kode. De første forsøg på at bruge GitHub Actions til minedrift dateredes tilbage til november sidste år.
GitHub Actions giver kodeudviklere mulighed for at vedhæfte handlere for at automatisere forskellige operationer i GitHub. Ved at bruge GitHub Actions kan du for eksempel udføre visse kontroller og tests, når du forpligter dig, eller automatisere behandlingen af nye problemer. For at starte mining opretter angribere en fork af repository, der bruger GitHub Actions, tilføjer en ny GitHub Actions til deres kopi og sender en pull-anmodning til det originale lager, der foreslår at erstatte de eksisterende GitHub Actions-handlere med de nye ".github/workflows /ci.yml” handler.
Den ondsindede pull-anmodning genererer flere forsøg på at køre den angriber-specificerede GitHub Actions-handler, som efter 72 timer afbrydes på grund af en timeout, mislykkes og derefter kører igen. For at angribe behøver en angriber kun at oprette en pull-anmodning - handleren kører automatisk uden nogen bekræftelse eller deltagelse fra de oprindelige lagervedligeholdere, som kun kan erstatte mistænkelig aktivitet og stoppe allerede med at køre GitHub Actions.
I ci.yml-handleren tilføjet af angriberne, indeholder "run"-parameteren sløret kode (eval "$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d"), som, når den udføres, forsøger at downloade og køre mineprogrammet. I de første varianter af angrebet fra forskellige arkiver blev et program kaldet npm.exe uploadet til GitHub og GitLab og kompileret til en eksekverbar ELF-fil til Alpine Linux (brugt i Docker-billeder). Nyere former for angreb downloader koden til en generisk XMRig miner fra det officielle projektlager, som derefter er bygget med adresseerstatningspung og servere til afsendelse af data.
Kilde: opennet.ru