„GitHub“ tiria daugybę atakų, kurių metu užpuolikai sugebėjo išgauti kriptovaliutą „GitHub“ debesies infrastruktūroje, naudodami „GitHub Actions“ mechanizmą, kad paleistų savo kodą. Pirmieji bandymai naudoti „GitHub Actions“ kasybai prasidėjo praėjusių metų lapkritį.
„GitHub Actions“ leidžia kodo kūrėjams prijungti tvarkykles, kad automatizuotų įvairias operacijas „GitHub“. Pavyzdžiui, naudodami „GitHub Actions“ galite atlikti tam tikrus patikrinimus ir bandymus, kai įsipareigojate, arba automatizuoti naujų problemų apdorojimą. Norėdami pradėti gavybą, užpuolikai sukuria saugyklos šakutę, kurioje naudojami „GitHub Actions“, prie kopijos prideda naujus „GitHub Actions“ ir siunčia ištraukimo užklausą į pradinę saugyklą, siūlydami esamas „GitHub“ veiksmų tvarkykles pakeisti nauja „.github/workflows“. /ci.yml“ tvarkyklę.
Kenkėjiška ištraukimo užklausa generuoja kelis bandymus paleisti užpuoliko nurodytą „GitHub Actions“ tvarkyklę, kuri po 72 valandų pertraukiama dėl skirtojo laiko, nepavyksta ir vėl paleidžiama. Norėdami atakuoti, užpuolikui tereikia sukurti ištraukimo užklausą – tvarkytojas paleidžiamas automatiškai be jokio patvirtinimo ar dalyvavimo iš pradinių saugyklos prižiūrėtojų, kurie gali tik pakeisti įtartiną veiklą ir nebevykdyti GitHub Actions.
Užpuolikų pridėtoje ci.yml tvarkyklėje parametre „run“ yra užmaskuotas kodas (eval „$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d“), kuris, kai jis vykdomas, bando atsisiųsti ir paleisti kasybos programą. Pirmuosiuose atakos variantuose iš skirtingų saugyklų Programa, pavadinta npm.exe, buvo įkelta į „GitHub“ ir „GitLab“ ir sukompiliuota į vykdomąjį ELF failą, skirtą „Alpine Linux“ (naudojamas „Docker“ atvaizduose). Naujesnės atakos formos atsisiunčia bendrojo XMRig kodą. Miner iš oficialios projekto saugyklos, kuri vėliau sukuriama su adresų pakeitimo pinigine ir serveriais duomenims siųsti.
Šaltinis: opennet.ru