A GitHub egy sor támadást vizsgál, amelyek során a támadóknak sikerült kriptovalutát bányászniuk a GitHub felhőinfrastruktúrán a GitHub Actions mechanizmus segítségével, hogy lefuttassák kódjukat. Az első kísérletek a GitHub Actions bányászat használatára tavaly novemberben nyúltak vissza.
A GitHub Actions lehetővé teszi a kódfejlesztők számára, hogy kezelőket csatoljanak a GitHub különféle műveleteinek automatizálásához. A GitHub-műveletek használatával például végrehajthat bizonyos ellenőrzéseket és teszteket a kötelezettségvállalás során, vagy automatizálhatja az új problémák feldolgozását. A bányászat megkezdéséhez a támadók létrehozzák a GitHub-műveleteket használó adattár elágazását, hozzáadnak egy új GitHub-műveletet a másolatukhoz, és lekérési kérelmet küldenek az eredeti tárhelynek, javasolva a meglévő GitHub-műveletek kezelőinek lecserélését az új „.github/workflows”-ra. /ci.yml” kezelő.
A rosszindulatú lekérési kérelem többszöri kísérletet generál a támadó által meghatározott GitHub-műveletkezelő futtatására, amely 72 óra elteltével időkorlát miatt megszakad, meghiúsul, majd újra lefut. A támadónak csak egy lehívási kérelmet kell létrehoznia – a kezelő automatikusan lefut az eredeti adattár-karbantartók megerősítése vagy részvétele nélkül, akik csak a gyanús tevékenységet tudják helyettesíteni, és leállítani a már futó GitHub-műveleteket.
A támadók által hozzáadott ci.yml kezelőben a „run” paraméter obfuszkált kódot tartalmaz (eval „$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d”)), amely végrehajtásakor megpróbálja letölteni és futtatni a bányászati programot. A támadás első változataiban különböző adattárakból Egy npm.exe nevű programot töltöttek fel a GitHubba és a GitLab-ba, és egy végrehajtható ELF-fájlba fordították az Alpine Linux számára (Docker képeken használatos). Az újabb támadási formák egy általános XMRig kódját töltik le Miner a hivatalos projekttárból, amely aztán címhelyettesítő pénztárcával és adatküldő szerverekkel épül fel.
Forrás: opennet.ru