GitHub er að rannsaka röð árása þar sem árásarmönnum tókst að grafa dulritunargjaldmiðil á GitHub skýjainnviðina með því að nota GitHub Actions vélbúnaðinn til að keyra kóðann sinn. Fyrstu tilraunir til að nota GitHub Actions til námuvinnslu voru frá nóvember á síðasta ári.
GitHub Actions gerir kóðahönnuðum kleift að tengja meðhöndlara til að gera ýmsar aðgerðir sjálfvirkar í GitHub. Til dæmis, með því að nota GitHub Actions, geturðu framkvæmt ákveðnar athuganir og prófanir þegar þú framkvæmir, eða sjálfvirkt vinnslu nýrra mála. Til að hefja námuvinnslu búa árásarmenn til gaffal af geymslunni sem notar GitHub Actions, bæta nýrri GitHub Actions við afritið sitt og senda beiðni til upprunalegu geymslunnar og leggja til að skipta út núverandi GitHub Actions meðhöndlum með nýju „.github/workflows /ci.yml“ stjórnandi.
Illgjarn dragbeiðnin framkallar margar tilraunir til að keyra árásarmanninn sem tilgreindur er GitHub Actions meðhöndlun, sem eftir 72 klukkustundir er rofin vegna tímaleysis, mistekst og keyrir svo aftur. Til að ráðast á þarf árásarmaður aðeins að búa til dráttarbeiðni - stjórnandinn keyrir sjálfkrafa án nokkurrar staðfestingar eða þátttöku frá upprunalegu umsjónarmönnum geymslunnar, sem geta aðeins komið í stað grunsamlegrar virkni og hætt þegar að keyra GitHub Actions.
Í ci.yml meðhöndluninni sem árásarmennirnir bættu við, inniheldur „run“ færibreytan hyljaðan kóða (eval „$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d“), sem, þegar hann er keyrður, reynir að hlaða niður og keyra námuvinnsluforritið. Í fyrstu afbrigðum árásarinnar frá mismunandi geymslum Forriti sem kallast npm.exe var hlaðið upp á GitHub og GitLab og sett saman í keyranlega ELF skrá fyrir Alpine Linux (notað í Docker myndum.) Nýrri gerðir árása hlaða niður kóða almennrar XMRig Miner frá opinberu verkefnageymslunni, sem síðan er byggð með heimilisfangaskiptaveski og netþjónum til að senda gögn.
Heimild: opennet.ru