GitHub шабуылдаушылар GitHub бұлттық инфрақұрылымында өз кодтарын іске қосу үшін GitHub Actions механизмін пайдалана отырып, криптовалютаны өндіріп алған бірқатар шабуылдарды зерттеп жатыр. GitHub әрекеттерін өндіру үшін пайдаланудың алғашқы әрекеттері өткен жылдың қарашасында болды.
GitHub әрекеттері код әзірлеушілеріне GitHub ішіндегі әртүрлі операцияларды автоматтандыру үшін өңдеушілерді қосуға мүмкіндік береді. Мысалы, GitHub әрекеттерін пайдалану арқылы сіз жасаған кезде белгілі бір тексерулер мен сынақтарды орындай аласыз немесе жаңа Мәселелерді өңдеуді автоматтандыруға болады. Майнингті бастау үшін шабуылдаушылар GitHub әрекеттерін пайдаланатын репозиторийдің шанышқысын жасайды, олардың көшірмесіне жаңа GitHub әрекеттерін қосады және бар GitHub әрекеттерін өңдеушілерді жаңа «.github/workflows» нұсқасымен ауыстыруды ұсынатын бастапқы репозиторийге тарту сұрауын жібереді. /ci.yml” өңдегіші.
Зиянды тарту сұрауы шабуылдаушы көрсеткен GitHub Actions өңдегішін іске қосу әрекетін жасайды, ол 72 сағаттан кейін күту уақытының аяқталуына байланысты үзіліп, сәтсіз аяқталады, содан кейін қайта іске қосылады. Шабуыл жасау үшін шабуылдаушы тек тарту сұрауын жасауы керек - өңдеуші тек күдікті әрекетті ауыстыра алатын және GitHub әрекеттерін іске қосуды тоқтата алатын бастапқы репозитарий қолдаушыларының ешқандай растауынсыз немесе қатысуынсыз автоматты түрде іске қосылады.
Шабуылдаушылар қосқан ci.yml өңдегішінде "run" параметрінде (eval "$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d") түсініксіз код бар, ол орындалған кезде тау-кен бағдарламасын жүктеп алып, іске қосуға тырысады. Бірінші шабуыл нұсқаларында Alpine үшін орындалатын ELF файлы ретінде компиляцияланған npm.exe деп аталатын бағдарлама GitHub және GitLab сайттарындағы әртүрлі репозиторийлерден жүктелді. Linux (Docker суреттерінде қолданылады). Шабуылдың жаңа түрлері жобаның ресми репозиторийінен әдеттегі XMRig майнерінің кодын жүктейді, содан кейін ол әмиян мекенжайын ауыстыру арқылы құрастырылады және серверлер деректерді жіберу үшін.
Ақпарат көзі: opennet.ru
