GitHub tutkii sarjaa hyökkäyksiä, joissa hyökkääjät onnistuivat louhimaan kryptovaluuttoja GitHub-pilviinfrastruktuurissa käyttämällä GitHub Actions -mekanismia koodinsa suorittamiseen. Ensimmäiset yritykset käyttää GitHub Actionsia kaivostoimintaan ajoittuivat viime vuoden marraskuuhun.
GitHub Actionsin avulla koodin kehittäjät voivat liittää käsittelijöitä erilaisten toimintojen automatisoimiseksi GitHubissa. Esimerkiksi GitHub Actionsin avulla voit suorittaa tiettyjä tarkistuksia ja testejä sitoutuessasi tai automatisoida uusien ongelmien käsittelyn. Aloittaakseen louhinnan hyökkääjät luovat arkiston haarukan, joka käyttää GitHub Actions -toimintoja, lisäävät kopioonsa uudet GitHub-toiminnot ja lähettävät alkuperäiseen arkistoon vetopyynnön, jossa ehdotetaan nykyisten GitHub Actions -käsittelijöiden korvaamista uusilla ".github/workflows". /ci.yml" -käsittelijä.
Haitallinen vetopyyntö luo useita yrityksiä suorittaa hyökkääjän määrittämä GitHub Actions -käsittelijä, joka 72 tunnin kuluttua keskeytyy aikakatkaisun vuoksi, epäonnistuu ja toimii sitten uudelleen. Hyökkäämään hyökkääjän tarvitsee vain luoda vetopyyntö – käsittelijä toimii automaattisesti ilman vahvistusta tai osallistumista alkuperäisiltä arkiston ylläpitäjiltä, jotka voivat vain korvata epäilyttävän toiminnan ja lopettaa jo GitHub-toimintojen suorittamisen.
Hyökkääjien lisäämässä ci.yml-käsittelijässä "run"-parametri sisältää hämärän koodin (eval "$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d"), joka ajettaessa yrittää ladata ja suorittaa kaivosohjelman. Hyökkäyksen ensimmäisissä muunnelmissa eri arkistoista npm.exe-niminen ohjelma ladattiin GitHubiin ja GitLabiin ja käännettiin suoritettavaksi ELF-tiedostoksi Alpine Linuxille (käytetään Docker-kuvissa). Uudemmat hyökkäyksen muodot lataavat yleisen koodin. XMRig Miner virallisesta projektivarastosta, joka sitten kootaan osoitteenvaihtolompakolla ja palvelimilla tietojen lähettämistä varten.
Lähde: opennet.ru