GitHub-ը հետաքննում է մի շարք հարձակումներ, որոնցում հարձակվողներին հաջողվել է գաղտնալսել կրիպտոարժույթը GitHub ամպային ենթակառուցվածքի վրա՝ օգտագործելով GitHub Actions մեխանիզմը՝ իրենց կոդը գործարկելու համար: GitHub Actions-ը մայնինգի համար օգտագործելու առաջին փորձերը սկսվել են անցյալ տարվա նոյեմբերին:
GitHub Actions-ը թույլ է տալիս կոդ մշակողներին կցել մշակողներ՝ GitHub-ում տարբեր գործողություններ ավտոմատացնելու համար: Օրինակ՝ օգտագործելով GitHub Actions-ը, դուք կարող եք կատարել որոշակի ստուգումներ և փորձարկումներ կատարելիս կամ ավտոմատացնել նոր խնդիրների մշակումը: Մայնինգը սկսելու համար հարձակվողները ստեղծում են պահեստի մի պատառաքաղ, որն օգտագործում է GitHub Actions-ը, ավելացնում է նոր GitHub գործողություններ իրենց պատճենում և ուղարկում pull-ի հարցում բնօրինակ պահոց՝ առաջարկելով փոխարինել գոյություն ունեցող GitHub Actions մշակողներին նոր «.github/workflows»-ով: /ci.yml» մշակող:
Վնասակար ձգման հարցումը առաջացնում է բազմաթիվ փորձեր՝ գործարկելու հարձակվողի կողմից նշված GitHub Actions կառավարիչը, որը 72 ժամ հետո ընդհատվում է ժամանակի դադարի պատճառով, ձախողվում և այնուհետև նորից գործարկվում: Հարձակման համար հարձակվողը միայն պետք է ստեղծի ձգման հարցում. մշակողն աշխատում է ավտոմատ կերպով՝ առանց նախնական պահեստի սպասարկողների որևէ հաստատման կամ մասնակցության, որը կարող է միայն փոխարինել կասկածելի գործունեությունը և դադարեցնել արդեն իսկ գործարկվող GitHub Գործողությունները:
Հարձակվողների կողմից ավելացված ci.yml կարգավորիչում «run» պարամետրը պարունակում է խճճված կոդ (eval «$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d»), որը, երբ գործարկվում է, փորձում է ներբեռնել և գործարկել մայնինգ ծրագիրը: Տարբեր պահոցներից հարձակման առաջին տարբերակներում npm.exe կոչվող ծրագիրը վերբեռնվեց GitHub և GitLab և կազմվեց գործարկվող ELF ֆայլի մեջ Alpine Linux-ի համար (օգտագործվում է Docker պատկերներում): Հարձակման ավելի նոր ձևերը ներբեռնում են ընդհանուր XMRig կոդը: հանքափոր ծրագրի պաշտոնական պահոցից, որն այնուհետև կառուցվում է հասցեների փոխարինման դրամապանակով և տվյալների ուղարկման սերվերներով:
Source: opennet.ru