GitHub は、攻撃者が GitHub Actions メカニズムを使用してコードを実行し、GitHub クラウド インフラストラクチャ上で暗号通貨をマイニングすることに成功した一連の攻撃を調査しています。 マイニングに GitHub Actions を使用する最初の試みは、昨年 XNUMX 月に遡ります。
GitHub Actions を使用すると、コード開発者はハンドラーをアタッチして、GitHub でのさまざまな操作を自動化できます。 たとえば、GitHub Actions を使用すると、コミット時に特定のチェックやテストを実行したり、新しい問題の処理を自動化したりできます。 マイニングを開始するために、攻撃者は GitHub Actions を使用するリポジトリのフォークを作成し、そのコピーに新しい GitHub Actions を追加し、既存の GitHub Actions ハンドラーを新しい「.github/workflows」に置き換えることを提案するプル リクエストを元のリポジトリに送信します。 /ci.yml」ハンドラー。
悪意のあるプル リクエストにより、攻撃者が指定した GitHub Actions ハンドラーの実行が複数回試行され、72 時間後にタイムアウトにより中断され、失敗してから再度実行されます。 攻撃するには、攻撃者はプル リクエストを作成するだけで済みます。ハンドラーは、元のリポジトリ メンテナによる確認や参加がなくても自動的に実行されます。メンテナは、疑わしいアクティビティを置き換え、すでに実行されている GitHub Actions を停止することしかできません。
攻撃者が追加した ci.yml ハンドラーでは、「run」パラメーターに難読化されたコード (eval "$(echo 'YXB0IHVwZGF0ZSAt…' |base64 -d") が含まれており、実行されるとマイニング プログラムをダウンロードして実行しようとします。異なるリポジトリからの攻撃の最初の亜種では、npm.exe と呼ばれるプログラムが GitHub と GitLab にアップロードされ、Alpine Linux (Docker イメージで使用される) 用の実行可能 ELF ファイルにコンパイルされました。新しい形式の攻撃では、汎用 XMRig のコードがダウンロードされます。公式プロジェクト リポジトリからマイナーを取得し、アドレス置換ウォレットとデータ送信用のサーバーを構築します。
出所: オープンネット.ru