GitHub onderzoekt een reeks aanvallen waarbij aanvallers erin slaagden cryptocurrency te minen op de GitHub-cloudinfrastructuur met behulp van het GitHub Actions-mechanisme om hun code uit te voeren. De eerste pogingen om GitHub Actions te gebruiken voor mining dateerden van november vorig jaar.
Met GitHub Actions kunnen codeontwikkelaars handlers koppelen om verschillende bewerkingen in GitHub te automatiseren. Met GitHub Actions kun je bijvoorbeeld bepaalde controles en tests uitvoeren bij het committen, of de verwerking van nieuwe Issues automatiseren. Om te beginnen met minen, maken aanvallers een fork van de repository die GitHub Actions gebruikt, voegen nieuwe GitHub Actions toe aan hun kopie en sturen een pull-verzoek naar de oorspronkelijke repository met het voorstel om de bestaande GitHub Actions-handlers te vervangen door de nieuwe “.github/workflows /ci.yml”-handler.
Het kwaadaardige pull-verzoek genereert meerdere pogingen om de door de aanvaller opgegeven GitHub Actions-handler uit te voeren, die na 72 uur wordt onderbroken vanwege een time-out, mislukt en vervolgens opnieuw wordt uitgevoerd. Om aan te vallen hoeft een aanvaller alleen maar een pull-verzoek te maken - de handler wordt automatisch uitgevoerd zonder enige bevestiging of deelname van de oorspronkelijke beheerders van de repository, die alleen verdachte activiteiten kunnen vervangen en kunnen stoppen met het uitvoeren van GitHub-acties.
In de ci.yml-handler die door de aanvallers is toegevoegd, bevat de parameter “run” versluierde code (eval “$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d”), die, wanneer deze wordt uitgevoerd, probeert het miningprogramma te downloaden en uit te voeren. In de eerste varianten van de aanval vanuit verschillende repositories werd een programma met de naam npm.exe geüpload naar GitHub en GitLab en gecompileerd in een uitvoerbaar ELF-bestand voor Alpine Linux (gebruikt in Docker-images). Nieuwere aanvalsvormen downloaden de code van een generieke XMRig mijnwerker uit de officiële projectrepository, die vervolgens wordt gebouwd met een portemonnee voor adresvervanging en servers voor het verzenden van gegevens.
Bron: opennet.ru