GitHub esploras serion da atakoj, en kiuj atakantoj sukcesis elmini kriptan moneron sur la nuba infrastrukturo de GitHub uzante la mekanismon GitHub Actions por ruli sian kodon. La unuaj provoj uzi GitHub Actions por minado datiĝis de novembro de la pasinta jaro.
GitHub Actions permesas al kodprogramistoj alligi prizorgilojn por aŭtomatigi diversajn operaciojn en GitHub. Ekzemple, uzante GitHub-Agojn, vi povas fari iujn kontrolojn kaj provojn dum vi faru, aŭ aŭtomatigi la prilaboradon de novaj Problemoj. Por komenci minadon, atakantoj kreas forkon de la deponejo, kiu uzas GitHub Actions, aldonas novan GitHub Actions al sia kopio, kaj sendas tiran peton al la originala deponejo proponante anstataŭigi la ekzistantajn GitHub Actions-traktilojn per la nova ".github/workflows. /ci.yml” pritraktilo.
La malica tirpeto generas multoblajn provojn ruli la atakanton-specifitan GitHub Actions-traktilon, kiu post 72 horoj estas interrompita pro tempodaŭro, malsukcesas, kaj poste funkcias denove. Por ataki, atakanto bezonas nur krei tiran peton - la prizorganto funkcias aŭtomate sen ajna konfirmo aŭ partopreno de la originalaj deponejoj prizorgantoj, kiuj povas nur anstataŭigi suspektindan agadon kaj ĉesi jam ruli GitHub-Agojn.
En la pritraktilo ci.yml aldonita de la atakantoj, la parametro "run" enhavas malklarigitan kodon (eval "$(echo 'YXB0IHVwZGF0ZSAt...' | base64 -d"), kiu, kiam ĝi estas ekzekutita, provas elŝuti kaj ruli la minadprogramon. En la unuaj variantoj de la atako de malsamaj deponejoj Programo nomita npm.exe estis alŝutita al GitHub kaj GitLab kaj kompilita en ruleblan ELF-dosieron por Alpine Linukso (uzita en Docker-bildoj.) Pli novaj formoj de atako elŝutis la kodon de senmarka XMRig. ministo de la oficiala projektdeponejo, kiu tiam estas konstruita kun adresanstataŭiga monujo kaj serviloj por sendado de datumoj.
fonto: opennet.ru