GitHub нь халдагчид GitHub үүлэн дэд бүтцэд GitHub Actions механизмыг ашиглан өөрийн кодыг ажиллуулж криптовалют олборлож чадсан цуврал халдлагуудыг шалгаж байна. GitHub Actions-ийг олборлолтод ашиглах анхны оролдлогууд өнгөрсөн оны арваннэгдүгээр сард эхэлсэн.
GitHub үйлдлүүд нь код хөгжүүлэгчдэд GitHub дахь янз бүрийн үйлдлийг автоматжуулахын тулд зохицуулагчийг хавсаргах боломжийг олгодог. Жишээлбэл, GitHub үйлдлүүдийг ашигласнаар та шинэ асуудал гаргахдаа тодорхой шалгалт, тест хийх эсвэл автоматжуулах боломжтой. Олборлолтыг эхлүүлэхийн тулд халдагчид GitHub Actions ашигладаг агуулахын салаа үүсгэж, хуулбар дээрээ шинэ GitHub Үйлдлүүд нэмж, одоо байгаа GitHub Үйлдлүүдийг зохицуулагчийг шинэ ".github/workflows"-аар солихыг санал болгож анхны репозиторийг татах хүсэлт илгээдэг. /ci.yml” зохицуулагч.
Хортой татах хүсэлт нь халдагчийн тодорхойлсон GitHub Actions зохицуулагчийг ажиллуулах олон оролдлогыг үүсгэдэг бөгөөд 72 цагийн дараа завсарлагааны улмаас тасалдаж, амжилтгүй болж, дахин ажиллана. Халдлага үйлдэхийн тулд халдагч зөвхөн татах хүсэлтийг үүсгэх хэрэгтэй - зохицуулагч нь зөвхөн сэжигтэй үйл ажиллагааг орлуулж, GitHub үйлдлүүдийг аль хэдийн ажиллуулахаа болих боломжтой анхны репозиторын засварлагчдын оролцоогүйгээр автоматаар ажилладаг.
Халдагчдын нэмсэн ci.yml зохицуулагчийн “run” параметр нь ойлгомжгүй кодыг (eval “$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d”) агуулж байгаа бөгөөд үүнийг гүйцэтгэх үед олборлох программыг татаж аваад ажиллуулахыг оролддог. Өөр өөр хадгалалтын газраас халдлагын эхний хувилбаруудад npm.exe нэртэй программыг GitHub болон GitLab-д байршуулж, Alpine Linux-д зориулсан ELF файл болгон хөрвүүлсэн (Docker зурагт ашигладаг). Халдлагын шинэ хэлбэрүүд нь ерөнхий кодыг татаж авдаг. Албан ёсны төслийн репозитороос XMRig олборлогч, дараа нь хаяг солих түрийвч болон өгөгдөл илгээх серверүүдээр эмхэтгэсэн.
Эх сурвалж: opennet.ru