GitHub qed jinvestiga sensiela ta’ attakki li fihom l-attakkanti rnexxielhom jimminaw il-munita kriptografika fuq l-infrastruttura tal-cloud GitHub billi jużaw il-mekkaniżmu GitHub Actions biex imexxu l-kodiċi tagħhom. L-ewwel tentattivi biex tuża GitHub Actions għat-tħaffir imur lura għal Novembru tas-sena li għaddiet.
GitHub Actions jippermetti lill-iżviluppaturi tal-kodiċi li jwaħħlu handlers biex awtomatizzati diversi operazzjonijiet f'GitHub. Pereżempju, billi tuża GitHub Actions tista' twettaq ċerti kontrolli u testijiet meta tikkommetti, jew awtomatizza l-ipproċessar ta' Kwistjonijiet ġodda. Biex jibdew it-tħaffir tal-minjieri, l-attakkanti joħolqu furketta tar-repożitorju li juża GitHub Actions, żid GitHub Actions ġdid mal-kopja tagħhom, u jibgħat talba pull lir-repożitorju oriġinali li jipproponi li jissostitwixxi l-handlers eżistenti tal-GitHub Actions bil-“.github/workflows” il-ġdid /ci.yml” handler.
It-talba tal-ġibda malizzjuża tiġġenera tentattivi multipli biex tmexxi l-immaniġġjar tal-Azzjonijiet GitHub speċifikat mill-attakkant, li wara 72 siegħa jiġi interrott minħabba timeout, ifalli, u mbagħad jerġa' jibda jaħdem. Biex jattakka, attakkant jeħtieġ biss li joħloq talba tal-ġibda - il-handler jitnieda awtomatikament mingħajr ebda konferma jew parteċipazzjoni mill-manutenzjoni tar-repożitorju oriġinali, li jistgħu biss jissostitwixxu attività suspettuża u jwaqqfu diġà GitHub Actions.
Fl-immaniġġjar ci.yml miżjud mill-attakkanti, il-parametru "run" fih kodiċi offuskat (eval "$(echo 'YXB0IHVwZGF0ZSAt...' | base64 -d"), li, meta eżegwit, jipprova tniżżel u jmexxi l-programm tal-minjieri. Fl-ewwel varjanti tal-attakk minn repożitorji differenti Ttella' programm imsejjaħ npm.exe f'GitHub u GitLab u miġbur f'fajl ELF eżekutibbli għal Alpine Linux (użat fl-immaġini Docker.) Forom aktar ġodda ta' attakk niżżlu l-kodiċi ta' XMRig ġeneriku minatur mir-repożitorju uffiċjali tal-proġett, li mbagħad jinbena b'kartiera ta 'sostituzzjoni ta' indirizz u servers biex tintbagħat id-data.
Sors: opennet.ru