GitHub hainbat eraso ikertzen ari da, non erasotzaileek GitHub hodeiko azpiegituran kripto-moneta meatzea lortu zuten GitHub Actions mekanismoa erabiliz euren kodea exekutatzeko. GitHub Actions meatzaritzarako erabiltzeko lehen saiakerak iazko azaroan izan ziren.
GitHub Actions-ek kode-garatzaileei kudeatzaileak eransteko aukera ematen die GitHub-en hainbat eragiketa automatizatzeko. Esate baterako, GitHub Actions erabiliz egiaztapen eta proba batzuk egin ditzakezu konpromisoa hartzen duzunean, edo Arazo berrien prozesamendua automatizatu. Meatzaritzan hasteko, erasotzaileek GitHub Actions erabiltzen duten biltegiaren fork bat sortzen dute, GitHub Actions berri bat gehitzen diote haien kopiari eta tira eskaera bat bidaltzen dute jatorrizko biltegira, lehendik dauden GitHub Actions kudeatzaileak ".github/workflows" berriarekin ordezkatzea proposatuz. /ci.ymlβ kudeatzailea.
Asmo txarreko pull-eskaerak erasotzaileak zehaztutako GitHub Actions kudeatzailea exekutatzeko saiakera ugari sortzen ditu, eta 72 ordu igaro ondoren eten egiten da denbora-muga baten ondorioz, huts egiten du eta berriro exekutatzen da. Erasoa egiteko, erasotzaileak tira-eskaera bat besterik ez du sortu behar: kudeatzailea automatikoki exekutatzen da jatorrizko biltegiaren zaintzaileen berrespenik edo parte-hartzerik gabe, hauek jarduera susmagarriak ordezkatu eta GitHub Actions dagoeneko exekutatzen utzi dezaketela.
Erasotzaileek gehitutako ci.yml kudeatzailean, βexekutatuβ parametroak kode lausoa dauka (eval β$(echo 'YXB0IHVwZGF0ZSAt...' | base64 -dβ), exekutatzen denean meatzaritza programa deskargatzen eta exekutatzen saiatzen dena. Biltegi ezberdinetako erasoaren lehen aldaeretan npm.exe izeneko programa bat GitHub eta GitLab-era kargatu zen eta Alpine Linux-erako ELF fitxategi exekutagarri batean konpilatu zen (Docker-en irudietan erabiltzen da). Eraso-modu berriagoak XMRig generiko baten kodea deskargatu zen. proiektuaren biltegi ofizialeko meatzaria, gero helbidea ordezkatzeko zorroarekin eta datuak bidaltzeko zerbitzariekin eraikitzen dena.
Iturria: opennet.ru