GitHub расследует серию атак, в ходе которых злоумышленникам удалось организовать майнинг криптовалюты в облачной инфраструктуре GitHub, используя для запуска своего кода механизм GitHub Actions. Первые попытки использования GitHub Actions для майнинга датированы ноябрём прошлого года.
GitHub Actions erlaabt Code Entwéckler Handler ze befestigen fir verschidde Operatiounen am GitHub ze automatiséieren. Zum Beispill, andeems Dir GitHub Actions benotzt, kënnt Dir gewësse Kontrollen an Tester ausféieren wann Dir engagéiert oder d'Veraarbechtung vun neien Themen automatiséieren. Fir de Mining unzefänken, erstellen Ugräifer eng Gabel vum Repository, deen GitHub Actions benotzt, füügt eng nei GitHub Actions un hir Kopie un, a schéckt eng Pull-Ufro un den urspréngleche Repository fir déi existent GitHub Actions Handler mat den neien ".github/workflows ze ersetzen. /ci.yml" Handler.
Déi béiswëlleg Pull-Ufro generéiert verschidde Versuche fir den Ugräifer spezifizéierte GitHub Actions Handler auszeféieren, deen no 72 Stonnen wéinst engem Timeout ënnerbrach ass, klappt, an dann erëm leeft. Fir unzegräifen, brauch en Ugräifer nëmmen eng Pull-Ufro ze kreéieren - den Handler leeft automatesch ouni Bestätegung oder Participatioun vun den ursprénglechen Repository-Inhalter, déi nëmmen verdächteg Aktivitéit ersetzen an ophalen GitHub Actions ze lafen.
Am ci.yml Handler, deen vun den Ugräifer bäigefüügt gëtt, enthält de Parameter "run" verstoppte Code (eval "$(echo 'YXB0IHVwZGF0ZSAt ...' | base64 -d"), deen, wann se ausgefouert gëtt, probéiert de Miningprogramm erofzelueden an auszeféieren. An den éischte Varianten vun der Attack aus verschiddene Repositories gouf e Programm mam Numm npm.exe op GitHub a GitLab eropgelueden an an eng ausführbar ELF-Datei fir Alpine Linux (benotzt an Docker-Biller) kompiléiert. XMRig Miner aus dem offiziellen Projet Repository, déi dann mat Adress Substitutioun Portemonnaie an Serveren fir schéckt Daten zesummegesat ass.
Source: opennet.ru