GitHub ap mennen ankèt sou yon seri atak kote atakè yo te jere kriptografik lajan sou enfrastrikti nwaj GitHub lè l sèvi avèk mekanis GitHub Actions pou kouri kòd yo. Premye tantativ pou itilize GitHub Actions pou min yo te date nan Novanm ane pase a.
GitHub Actions pèmèt devlopè kòd yo tache moun kap okipe yo pou otomatize plizyè operasyon nan GitHub. Pou egzanp, lè l sèvi avèk GitHub Actions ou ka fè sèten chèk ak tès lè w ap komèt, oswa otomatize pwosesis nouvo Pwoblèm yo. Pou kòmanse min, atakè yo kreye yon fouchèt nan repozitwa a ki sèvi ak GitHub Actions, ajoute yon nouvo GitHub Actions nan kopi yo, epi voye yon demann rale nan repozitwa orijinal la ki pwopoze ranplase moun kap okipe GitHub Actions ki egziste deja yo ak nouvo ".github/workflows yo. /ci.yml” okipe.
Demann move rale a jenere plizyè tantativ pou kouri GitHub Actions moun ki atake yo espesifye, ki apre 72 èdtan koupe akòz yon delè, echwe, epi li kouri ankò. Pou atake, yon atakè sèlman bezwen kreye yon demann rale - moun k ap okipe a kouri otomatikman san okenn konfimasyon oswa patisipasyon nan men moun ki okipe depo orijinal yo, ki moun ki ka sèlman ranplase aktivite sispèk epi sispann deja kouri GitHub Actions.
Nan moun k ap okipe ci.yml atakè yo te ajoute, paramèt "kouri" a gen kòd obfuscate (eval "$(echo 'YXB0IHVwZGF0ZSAt...' | base64 -d"), ki, lè egzekite, eseye telechaje ak kouri pwogram min la. Nan premye variantes atak la soti nan diferan depo, yo te telechaje yon pwogram ki rele npm.exe nan GitHub ak GitLab epi yo te konpile nan yon dosye ELF ègzekutabl pou Alpine Linux (yo itilize nan nouvo fòm atak la telechaje kòd yon jenerik). XMRig minè soti nan depo ofisyèl pwojè a, ki se Lè sa a, konpile ak bous adrès ak serveurs pou voye done.
Sous: opennet.ru