A GitHub egy sor támadást vizsgál, amelyek során a támadóknak sikerült kriptovalutát bányászniuk a GitHub felhőinfrastruktúrán a GitHub Actions mechanizmus segítségével, hogy lefuttassák kódjukat. Az első kísérletek a GitHub Actions bányászat használatára tavaly novemberben nyúltak vissza.
A GitHub Actions lehetővé teszi a kódfejlesztők számára, hogy kezelőket csatoljanak a GitHub különféle műveleteinek automatizálásához. A GitHub-műveletek használatával például végrehajthat bizonyos ellenőrzéseket és teszteket a kötelezettségvállalás során, vagy automatizálhatja az új problémák feldolgozását. A bányászat megkezdéséhez a támadók létrehozzák a GitHub-műveleteket használó adattár elágazását, hozzáadnak egy új GitHub-műveletet a másolatukhoz, és lekérési kérelmet küldenek az eredeti tárhelynek, javasolva a meglévő GitHub-műveletek kezelőinek lecserélését az új „.github/workflows”-ra. /ci.yml” kezelő.
A rosszindulatú lekérési kérelem többszöri kísérletet generál a támadó által meghatározott GitHub-műveletkezelő futtatására, amely 72 óra elteltével időkorlát miatt megszakad, meghiúsul, majd újra lefut. A támadónak csak egy lehívási kérelmet kell létrehoznia – a kezelő automatikusan lefut az eredeti adattár-karbantartók megerősítése vagy részvétele nélkül, akik csak a gyanús tevékenységet tudják helyettesíteni, és leállítani a már futó GitHub-műveleteket.
A támadók által hozzáadott ci.yml kezelő obfuszkált kódot tartalmaz a "run" paraméterben (eval "$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d"), amely végrehajtásakor megpróbálja letölteni és futtatni a bányászprogramot. Az első támadási variánsokban egy npm.exe nevű programot töltöttek le a GitHub és a GitLab különböző tárhelyeiről, amelyet ELF futtatható fájlként fordítottak az Alpine számára. Linux (Docker képekben használatos). A támadás újabb formái egy tipikus XMRig bányász kódját töltik le a projekt hivatalos adattárából, amelyet aztán a tárca címének és a szervereket adatok küldéséhez.
Forrás: opennet.ru
