GitHub está a investigar unha serie de ataques nos que os atacantes conseguiron extraer criptomonedas na infraestrutura na nube de GitHub mediante o mecanismo GitHub Actions para executar o seu código. Os primeiros intentos de usar GitHub Actions para a minería remóntanse a novembro do ano pasado.
GitHub Actions permite aos desenvolvedores de código anexar controladores para automatizar varias operacións en GitHub. Por exemplo, usando GitHub Actions podes realizar certas comprobacións e probas ao comprometer ou automatizar o procesamento de novos problemas. Para comezar a minería, os atacantes crean un fork do repositorio que usa GitHub Actions, engaden unha nova GitHub Actions á súa copia e envían unha solicitude de extracción ao repositorio orixinal que propón substituír os controladores de GitHub Actions existentes polo novo ".github/workflows". controlador /ci.yml”.
A solicitude de extracción maliciosa xera varios intentos de executar o xestor de accións de GitHub especificado polo atacante, que despois de 72 horas se interrompe debido a un tempo de espera, falla e volve executarse. Para atacar, un atacante só necesita crear unha solicitude de extracción: o manejador execútase automaticamente sen ningunha confirmación nin participación dos mantedores do repositorio orixinais, que só poden substituír a actividade sospeitosa e deixar de executar as accións de GitHub.
No manejador ci.yml engadido polos atacantes, o parámetro "executar" contén código ofuscado (eval "$(echo 'YXB0IHVwZGF0ZSAt...' | base64 -d"), que, cando se executa, tenta descargar e executar o programa de minería. Nas primeiras variantes do ataque desde diferentes repositorios Cargouse a GitHub e GitLab un programa chamado npm.exe e compilado nun ficheiro ELF executable para Alpine Linux (utilizado nas imaxes de Docker). As novas formas de ataque descargan o código dun XMRig xenérico. mineiro do repositorio oficial do proxecto, que despois se crea cunha carteira de substitución de enderezos e servidores para enviar datos.
Fonte: opennet.ru