GitHub sedang menyiasat beberapa siri serangan di mana penyerang berjaya melombong mata wang kripto pada infrastruktur awan GitHub menggunakan mekanisme Tindakan GitHub untuk menjalankan kod mereka. Percubaan pertama untuk menggunakan Tindakan GitHub untuk perlombongan bertarikh sejak November tahun lepas.
Tindakan GitHub membenarkan pembangun kod melampirkan pengendali untuk mengautomasikan pelbagai operasi dalam GitHub. Contohnya, menggunakan Tindakan GitHub anda boleh melakukan semakan dan ujian tertentu apabila melakukan, atau mengautomasikan pemprosesan Isu baharu. Untuk memulakan perlombongan, penyerang mencipta garpu repositori yang menggunakan Tindakan GitHub, menambah Tindakan GitHub baharu pada salinan mereka dan menghantar permintaan tarik ke repositori asal yang mencadangkan untuk menggantikan pengendali Tindakan GitHub sedia ada dengan β.github/workflows baharu /ci.ymlβ pengendali.
Permintaan tarik berniat jahat menjana berbilang percubaan untuk menjalankan pengendali Tindakan GitHub yang ditentukan oleh penyerang, yang selepas 72 jam terganggu kerana tamat masa, gagal dan kemudian berjalan semula. Untuk menyerang, penyerang hanya perlu membuat permintaan tarik - pengendali berjalan secara automatik tanpa sebarang pengesahan atau penyertaan daripada penyelenggara repositori asal, yang hanya boleh menggantikan aktiviti yang mencurigakan dan berhenti menjalankan Tindakan GitHub.
Dalam pengendali ci.yml yang ditambahkan oleh penyerang, parameter βrunβ mengandungi kod yang dikelirukan (eval β$(echo 'YXB0IHVwZGF0ZSAtβ¦' | base64 -dβ), yang, apabila dilaksanakan, cuba memuat turun dan menjalankan program perlombongan. Dalam varian pertama serangan daripada repositori berbeza Satu program yang dipanggil npm.exe telah dimuat naik ke GitHub dan GitLab dan disusun ke dalam fail ELF boleh laku untuk Alpine Linux (digunakan dalam imej Docker.) Bentuk serangan yang lebih baharu memuat turun kod XMRig generik penambang dari repositori projek rasmi, yang kemudiannya dibina dengan dompet penggantian alamat dan pelayan untuk menghantar data.
Sumber: opennet.ru