GitHub izmeklē vairākus uzbrukumus, kuros uzbrucējiem izdevās iegūt kriptovalūtu GitHub mākoņa infrastruktūrā, izmantojot GitHub Actions mehānismu, lai palaistu savu kodu. Pirmie mēģinājumi izmantot GitHub Actions ieguvei radās pagājušā gada novembrī.
GitHub Actions ļauj koda izstrādātājiem pievienot apstrādātājus, lai automatizētu dažādas GitHub darbības. Piemēram, izmantojot GitHub Actions, varat veikt noteiktas pārbaudes un testus, veicot apņemšanos, vai automatizēt jaunu problēmu apstrādi. Lai sāktu ieguvi, uzbrucēji izveido repozitorija dakšu, kurā tiek izmantotas GitHub Actions, pievieno savai kopijai jaunu GitHub Actions un nosūta izvilkšanas pieprasījumu uz sākotnējo repozitoriju, ierosinot aizstāt esošos GitHub darbību apdarinātājus ar jauno “.github/workflows”. /ci.yml” apdarinātājs.
Ļaunprātīgais izvilkšanas pieprasījums ģenerē vairākus mēģinājumus palaist uzbrucēja norādīto GitHub darbību apdarinātāju, kas pēc 72 stundām tiek pārtraukts taimauta dēļ, neizdodas un pēc tam tiek palaists vēlreiz. Lai uzbruktu, uzbrucējam ir tikai jāizveido izvilkšanas pieprasījums — apdarinātājs tiek palaists automātiski bez apstiprinājuma vai sākotnējo repozitorija uzturētāju līdzdalības, kuri var tikai aizstāt aizdomīgas darbības un pārtraukt jau darboties GitHub Actions.
Uzbrucēju pievienotajā apdarinātājā ci.yml parametrs “run” satur aptumšotu kodu (eval “$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d”)), kas, izpildot, mēģina lejupielādēt un palaist ieguves programmu. Pirmajos uzbrukuma variantos no dažādām krātuvēm Programma ar nosaukumu npm.exe tika augšupielādēta GitHub un GitLab un apkopota izpildāmā ELF failā Alpine Linux (izmanto Docker attēlos). Jaunāki uzbrukuma veidi lejupielādē vispārēja XMRig kodu. miner no oficiālā projektu krātuves, kas pēc tam tiek veidota ar adreses aizstāšanas maku un serveriem datu sūtīšanai.
Avots: opennet.ru