GitHub nyelidiki serangkaian serangan ing ngendi panyerang bisa nambang cryptocurrency ing infrastruktur awan GitHub nggunakake mekanisme Tindakan GitHub kanggo mbukak kode kasebut. Upaya pisanan nggunakake Tindakan GitHub kanggo pertambangan tanggal November taun kepungkur.
Tindakan GitHub ngidini pangembang kode masang panangan kanggo ngotomatisasi macem-macem operasi ing GitHub. Contone, nggunakake Tindakan GitHub sampeyan bisa nindakake mriksa lan tes tartamtu nalika nggawe komitmen utawa ngotomatisasi pangolahan Masalah anyar. Kanggo miwiti pertambangan, panyerang nggawe garpu saka gudang sing nggunakake Tindakan GitHub, nambah Tindakan GitHub anyar menyang salinan, lan ngirim panjalukan tarik menyang gudang asli sing ngusulake kanggo ngganti panangan Tindakan GitHub sing ana karo ".github/workflows" anyar /ci.yml" pawang.
Panyuwunan tarik ala nggawe pirang-pirang upaya kanggo mbukak panangan GitHub Actions sing ditemtokake dening panyerang, sing sawise 72 jam diganggu amarga wektu entek, gagal, banjur mlaku maneh. Kanggo nyerang, panyerang mung kudu nggawe panjaluk tarik - pawang mlaku kanthi otomatis tanpa konfirmasi utawa partisipasi saka pangurus repositori asli, sing mung bisa ngganti kegiatan sing curiga lan mandheg nglakokake Tindakan GitHub.
Ing panangan ci.yml sing ditambahake dening panyerang, parameter "run" ngemot kode obfuscated (eval "$(echo 'YXB0IHVwZGF0ZSAtβ¦' | base64 -d"), sing, nalika dieksekusi, nyoba ndownload lan mbukak program pertambangan. Ing varian pisanan saka serangan saka repositori sing beda A program sing diarani npm.exe diunggah menyang GitHub lan GitLab lan disusun dadi file ELF sing bisa dieksekusi kanggo Alpine Linux (digunakake ing gambar Docker.) Bentuk serangan sing luwih anyar ngundhuh kode XMRig umum. penambang saka gudang proyek resmi, sing banjur dibangun karo dompet substitusi alamat lan server kanggo ngirim data.
Source: opennet.ru