GitHub onderzoekt een reeks aanvallen waarbij aanvallers erin slaagden cryptovaluta te minen op de cloudinfrastructuur van GitHub door het GitHub Actions-mechanisme te gebruiken om hun code uit te voeren. De eerste pogingen om GitHub Actions voor mining te gebruiken dateren van november vorig jaar.
Met GitHub Actions kunnen codeontwikkelaars handlers toevoegen om verschillende bewerkingen in GitHub te automatiseren. Met GitHub Actions kunt u bijvoorbeeld bepaalde controles en tests uitvoeren wanneer er commits worden gemaakt, of de verwerking van nieuwe Issues automatiseren. Om te beginnen met minen, maken aanvallers een fork van een repository die GitHub Actions gebruikt, voegen ze nieuwe GitHub Actions toe aan hun kopie en sturen ze een pull-aanvraag naar de oorspronkelijke repository met het voorstel om de bestaande GitHub Actions-handlers te vervangen door de nieuwe handler ".github/workflows/ci.yml".
De schadelijke pull-aanvraag veroorzaakt meerdere pogingen om een door de aanvaller opgegeven GitHub Actions-handler uit te voeren, die na 72 uur een time-out krijgt, mislukt en vervolgens opnieuw wordt uitgevoerd. Om een aanval uit te voeren, hoeft een aanvaller alleen maar een pull-request aan te maken. De handler wordt dan automatisch gestart, zonder enige bevestiging of deelname van de beheerders van de oorspronkelijke repository. Zij kunnen alleen verdachte activiteiten vervangen en reeds uitgevoerde GitHub Actions-taken stoppen.
De ci.yml-handler die door de aanvallers is toegevoegd, bevat versleutelde code in de parameter "run" (eval "$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d"), die, wanneer uitgevoerd, probeert het miningprogramma te downloaden en uit te voeren. In de eerste aanvalsvarianten werd een programma genaamd npm.exe, gecompileerd als een uitvoerbaar ELF-bestand voor Alpine, gedownload van verschillende repositories op GitHub en GitLab. Linux (gebruikt in Docker-images). Nieuwere varianten van de aanval downloaden de code van een typische XMRig-miner uit de officiële repository van het project, die vervolgens wordt samengesteld door het walletadres te vervangen en servers om gegevens te verzenden.
Bron: opennet.ru
