GitHub uurib mitmeid rünnakuid, mille käigus ründajatel õnnestus GitHubi pilveinfrastruktuuris krüptovaluutat kaevandada, kasutades oma koodi käivitamiseks GitHub Actions mehhanismi. Esimesed katsed GitHub Actionsi kaevandamiseks kasutada pärinevad eelmise aasta novembrist.
GitHub Actions võimaldab koodi arendajatel lisada käitlejaid, et automatiseerida erinevaid toiminguid GitHubis. Näiteks saate GitHubi toiminguid kasutades sooritada teatud kontrolle ja teste või automatiseerida uute probleemide töötlemist. Kaevandamise alustamiseks loovad ründajad GitHubi toiminguid kasutava hoidla hargi, lisavad oma koopiale uued GitHubi toimingud ja saadavad algsesse hoidlasse tõmbetaotluse, milles tehakse ettepanek asendada olemasolevad GitHubi toimingute töötlejad uue .github/workflows-ga. /ci.yml” käitleja.
Pahatahtlik tõmbamistaotlus genereerib mitu katset käivitada ründaja määratud GitHubi toimingute töötleja, mis 72 tunni pärast katkeb ajalõpu tõttu, ebaõnnestub ja töötab seejärel uuesti. Rünnakuks peab ründaja looma vaid tõmbamistaotluse – töötleja töötab automaatselt ilma igasuguse kinnituse või osaluseta hoidla algselt hooldajatelt, kes saavad asendada vaid kahtlase tegevuse ja peatada juba GitHubi toimingute käitamise.
Ründajate lisatud ci.yml käitlejas sisaldab parameeter “run” hägustatud koodi (eval “$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d”), mis käivitamisel proovib kaevandusprogrammi alla laadida ja käivitada. Rünnaku esimestes variantides erinevatest hoidlatest GitHubisse ja GitLabi laaditi üles programm nimega npm.exe ning kompileeriti Alpine Linuxi jaoks käivitatavaks ELF-failiks (kasutatakse Dockeri piltides). Uuemad ründevormid laadivad alla üldise XMRigi koodi kaevandaja ametlikust projektihoidlast, mis on seejärel ehitatud aadressiasendusrahakoti ja andmete saatmiseks mõeldud serveritega.
Allikas: opennet.ru