Το GitHub διερευνά μια σειρά επιθέσεων στις οποίες οι εισβολείς κατάφεραν να εξορύξουν κρυπτονομίσματα στην υποδομή cloud του GitHub χρησιμοποιώντας τον μηχανισμό GitHub Actions για να εκτελέσουν τον κώδικά τους. Οι πρώτες απόπειρες χρήσης GitHub Actions για εξόρυξη χρονολογούνται από τον Νοέμβριο του περασμένου έτους.
Το GitHub Actions επιτρέπει στους προγραμματιστές κώδικα να προσαρτούν χειριστές για να αυτοματοποιούν διάφορες λειτουργίες στο GitHub. Για παράδειγμα, χρησιμοποιώντας τις Ενέργειες GitHub μπορείτε να εκτελέσετε ορισμένους ελέγχους και δοκιμές κατά τη δέσμευση ή να αυτοματοποιήσετε την επεξεργασία νέων Ζητημάτων. Για να ξεκινήσουν την εξόρυξη, οι εισβολείς δημιουργούν ένα fork του αποθετηρίου που χρησιμοποιεί GitHub Actions, προσθέτουν ένα νέο GitHub Actions στο αντίγραφό τους και στέλνουν ένα αίτημα έλξης στο αρχικό αποθετήριο προτείνοντας την αντικατάσταση των υπαρχόντων χειριστών GitHub Actions με το νέο “.github/workflows /ci.yml” χειριστή.
Το κακόβουλο αίτημα έλξης δημιουργεί πολλαπλές προσπάθειες εκτέλεσης του προγράμματος χειρισμού GitHub Actions που καθορίζεται από τον εισβολέα, το οποίο μετά από 72 ώρες διακόπτεται λόγω χρονικού ορίου, αποτυγχάνει και στη συνέχεια εκτελείται ξανά. Για να επιτεθεί, ένας εισβολέας χρειάζεται μόνο να δημιουργήσει ένα αίτημα έλξης - ο χειριστής εκτελείται αυτόματα χωρίς καμία επιβεβαίωση ή συμμετοχή από τους αρχικούς συντηρητές του αποθετηρίου, οι οποίοι μπορούν να αντικαταστήσουν μόνο ύποπτη δραστηριότητα και να σταματήσουν να εκτελούν ήδη τις Ενέργειες GitHub.
Στον χειριστή ci.yml που προστέθηκε από τους εισβολείς, η παράμετρος "run" περιέχει ασαφή κώδικα (eval "$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d"), ο οποίος, όταν εκτελείται, προσπαθεί να πραγματοποιήσει λήψη και εκτέλεση του προγράμματος εξόρυξης. Στις πρώτες παραλλαγές της επίθεσης από διαφορετικά αποθετήρια Ένα πρόγραμμα που ονομάζεται npm.exe μεταφορτώθηκε στο GitHub και στο GitLab και μεταγλωττίστηκε σε ένα εκτελέσιμο αρχείο ELF για Alpine Linux (χρησιμοποιείται σε εικόνες Docker.) Οι νεότερες μορφές επίθεσης κατεβάζουν τον κώδικα ενός γενικού XMRig miner από το επίσημο αποθετήριο έργου, το οποίο στη συνέχεια δημιουργείται με πορτοφόλι αντικατάστασης διευθύνσεων και διακομιστές για την αποστολή δεδομένων.
Πηγή: opennet.ru