GitHub ûndersiket in searje oanfallen wêryn oanfallers it slagge om cryptocurrency te minen op 'e GitHub-wolkynfrastruktuer mei it GitHub Actions-meganisme om har koade út te fieren. De earste besykjen om GitHub Actions te brûken foar mining datearren werom oant novimber ferline jier.
GitHub Actions lit koade-ûntwikkelders handlers taheakje om ferskate operaasjes yn GitHub te automatisearjen. Bygelyks, mei help fan GitHub Actions kinne jo beskate kontrôles en tests útfiere by it begean, of automatisearje de ferwurking fan nije Issues. Om mining te begjinnen, meitsje oanfallers in gabel fan 'e repository dy't GitHub Actions brûkt, foegje in nije GitHub Actions ta oan har kopy, en stjoere in pull-fersyk nei it orizjinele repository dat foarstelt om de besteande GitHub Actions-behannelers te ferfangen mei de nije ".github/workflows /ci.yml" handler.
De kweade pull-fersyk genereart meardere besykjen om de troch oanfaller spesifisearre GitHub Actions-hantler út te fieren, dy't nei 72 oeren wurdt ûnderbrutsen fanwegen in time-out, mislearret en rint dan wer. Om oan te fallen, hoecht in oanfaller allinich in pull-fersyk oan te meitsjen - de handler rint automatysk sûnder befêstiging of dielname fan 'e orizjinele repository-ûnderhâlders, dy't allinich fertochte aktiviteit kinne ferfange en stopje mei it útfieren fan GitHub Actions.
De ci.yml-handler dy't tafoege is troch de oanfallers befettet ferburgen koade yn 'e parameter "run" (eval "$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d"), dy't, as it útfierd wurdt, besiket it miningprogramma te downloaden en út te fieren. Yn 'e earste oanfalsfarianten waard in programma mei de namme npm.exe, kompilearre as in útfierber ELF-bestân foar Alpine, downloade fan ferskate repositories op GitHub en GitLab. Linux (brûkt yn Docker-ôfbyldings). Nijere foarmen fan 'e oanfal downloade de koade foar in typyske XMRig-miner fan 'e offisjele repository fan it projekt, dy't dan gearstald wurdt troch it ferfangen fan it wallet-adres en servers om gegevens te ferstjoeren.
Boarne: opennet.ru
