GitHub istražuje seriju napada u kojima su napadači uspjeli rudariti kriptovalute na infrastrukturi GitHub oblaka koristeći mehanizam GitHub Actions za pokretanje svog koda. Prvi pokušaji korištenja GitHub Actions za rudarenje datiraju iz studenog prošle godine.
GitHub Actions omogućuje programerima koda da prikače rukovatelje za automatizaciju različitih operacija u GitHubu. Na primjer, korištenjem GitHub akcija možete izvršiti određene provjere i testove prilikom predaje ili automatizirati obradu novih problema. Kako bi započeli rudarenje, napadači kreiraju fork repozitorija koji koristi GitHub radnje, dodaju nove GitHub radnje svojoj kopiji i pošalju zahtjev za povlačenjem izvornom repozitoriju predlažući zamjenu postojećih rukovatelja GitHub radnji novim “.github/workflows /ci.yml” rukovatelj.
Zlonamjerni zahtjev za povlačenjem generira višestruke pokušaje pokretanja GitHub Actions rukovatelja koji je odredio napadač, koji se nakon 72 sata prekida zbog vremenskog ograničenja, ne uspije i zatim se ponovno pokrene. Da bi napao, napadač samo treba stvoriti zahtjev za povlačenjem - rukovatelj se pokreće automatski bez ikakve potvrde ili sudjelovanja izvornih održavatelja repozitorija, koji mogu samo zamijeniti sumnjivu aktivnost i zaustaviti već pokrenute GitHub akcije.
U ci.yml rukovatelju koji su dodali napadači, parametar “run” sadrži maskirani kod (eval “$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d”), koji, kada se izvrši, pokušava preuzeti i pokrenuti program rudarenja. U prvim varijantama napada iz različitih repozitorija Program pod nazivom npm.exe prenesen je na GitHub i GitLab i kompajliran u izvršnu ELF datoteku za Alpine Linux (korištenu u Docker slikama.) Noviji oblici napada preuzimaju kod generičkog XMRiga rudar iz službenog projektnog repozitorija, koji se zatim gradi s novčanikom za zamjenu adresa i poslužiteljima za slanje podataka.
Izvor: opennet.ru