GitHub шабуылдаушылар GitHub бұлттық инфрақұрылымында өз кодтарын іске қосу үшін GitHub Actions механизмін пайдалана отырып, криптовалютаны өндіріп алған бірқатар шабуылдарды зерттеп жатыр. GitHub әрекеттерін өндіру үшін пайдаланудың алғашқы әрекеттері өткен жылдың қарашасында болды.
GitHub әрекеттері код әзірлеушілеріне GitHub ішіндегі әртүрлі операцияларды автоматтандыру үшін өңдеушілерді қосуға мүмкіндік береді. Мысалы, GitHub әрекеттерін пайдалану арқылы сіз жасаған кезде белгілі бір тексерулер мен сынақтарды орындай аласыз немесе жаңа Мәселелерді өңдеуді автоматтандыруға болады. Майнингті бастау үшін шабуылдаушылар GitHub әрекеттерін пайдаланатын репозиторийдің шанышқысын жасайды, олардың көшірмесіне жаңа GitHub әрекеттерін қосады және бар GitHub әрекеттерін өңдеушілерді жаңа «.github/workflows» нұсқасымен ауыстыруды ұсынатын бастапқы репозиторийге тарту сұрауын жібереді. /ci.yml” өңдегіші.
Зиянды тарту сұрауы шабуылдаушы көрсеткен GitHub Actions өңдегішін іске қосу әрекетін жасайды, ол 72 сағаттан кейін күту уақытының аяқталуына байланысты үзіліп, сәтсіз аяқталады, содан кейін қайта іске қосылады. Шабуыл жасау үшін шабуылдаушы тек тарту сұрауын жасауы керек - өңдеуші тек күдікті әрекетті ауыстыра алатын және GitHub әрекеттерін іске қосуды тоқтата алатын бастапқы репозитарий қолдаушыларының ешқандай растауынсыз немесе қатысуынсыз автоматты түрде іске қосылады.
Қауіптілер қосқан ci.yml өңдегішінде «іске қосу» параметрінде бұлыңғыр код бар (eval «$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d»), ол орындалған кезде тау-кен бағдарламасын жүктеп алып, іске қосуға тырысады. Әртүрлі репозиторийлерден жасалған шабуылдың алғашқы нұсқаларында npm.exe деп аталатын бағдарлама GitHub және GitLab жүйесіне жүктелді және Alpine Linux үшін орындалатын ELF файлына құрастырылды (Docker кескіндерінде пайдаланылады.) Шабуылдың жаңа түрлері жалпы XMRig кодын жүктеп алыңыз. ресми жоба репозиторийінен кенші, ол кейін мекенжайды алмастыратын әмиянмен және деректерді жіберуге арналған серверлермен құрастырылады.
Ақпарат көзі: opennet.ru