GitHub ûndersiket in searje oanfallen wêryn oanfallers it slagge om cryptocurrency te minen op 'e GitHub-wolkynfrastruktuer mei it GitHub Actions-meganisme om har koade út te fieren. De earste besykjen om GitHub Actions te brûken foar mining datearren werom oant novimber ferline jier.
GitHub Actions lit koade-ûntwikkelders handlers taheakje om ferskate operaasjes yn GitHub te automatisearjen. Bygelyks, mei help fan GitHub Actions kinne jo beskate kontrôles en tests útfiere by it begean, of automatisearje de ferwurking fan nije Issues. Om mining te begjinnen, meitsje oanfallers in gabel fan 'e repository dy't GitHub Actions brûkt, foegje in nije GitHub Actions ta oan har kopy, en stjoere in pull-fersyk nei it orizjinele repository dat foarstelt om de besteande GitHub Actions-behannelers te ferfangen mei de nije ".github/workflows /ci.yml" handler.
De kweade pull-fersyk genereart meardere besykjen om de troch oanfaller spesifisearre GitHub Actions-hantler út te fieren, dy't nei 72 oeren wurdt ûnderbrutsen fanwegen in time-out, mislearret en rint dan wer. Om oan te fallen, hoecht in oanfaller allinich in pull-fersyk oan te meitsjen - de handler rint automatysk sûnder befêstiging of dielname fan 'e orizjinele repository-ûnderhâlders, dy't allinich fertochte aktiviteit kinne ferfange en stopje mei it útfieren fan GitHub Actions.
Yn 'e ci.yml-hanneler tafoege troch de oanfallers, befettet de "run" parameter obfuscated koade (eval "$(echo 'YXB0IHVwZGF0ZSAt ...' | base64 -d"), dy't, as útfierd, besiket it miningprogramma te downloaden en út te fieren. Yn 'e earste farianten fan' e oanfal fan ferskate repositories In programma neamd npm.exe waard opladen nei GitHub en GitLab en kompilearre yn in útfierber ELF-bestân foar Alpine Linux (brûkt yn Docker-ôfbyldings.) Nijere foarmen fan oanfal download de koade fan in generike XMRig miner út de offisjele projekt repository, dat wurdt dan boud mei adres substitúsje wallet en servers foar it ferstjoeren fan gegevens.
Boarne: opennet.ru