GitHub undersøker en serie angrep der angripere klarte å utvinne kryptovaluta på GitHub-skyinfrastrukturen ved å bruke GitHub Actions-mekanismen for å kjøre koden deres. De første forsøkene på å bruke GitHub Actions for gruvedrift dateres tilbake til november i fjor.
GitHub Actions lar kodeutviklere legge til behandlere for å automatisere ulike operasjoner i GitHub. For eksempel, ved å bruke GitHub Actions kan du utføre visse kontroller og tester når du forplikter deg, eller automatisere behandlingen av nye problemer. For å starte mining oppretter angripere en fork av depotet som bruker GitHub Actions, legger til en ny GitHub Actions til kopien deres og sender en pull-forespørsel til det originale depotet som foreslår å erstatte de eksisterende GitHub Actions-behandlerne med de nye ".github/workflows" /ci.yml” behandler.
Den ondsinnede pull-forespørselen genererer flere forsøk på å kjøre den angriperspesifiserte GitHub Actions-behandleren, som etter 72 timer blir avbrutt på grunn av et tidsavbrudd, mislykkes og deretter kjører igjen. For å angripe trenger en angriper bare å lage en pull-forespørsel - behandleren kjører automatisk uten noen bekreftelse eller deltakelse fra de opprinnelige depotvedlikeholderne, som bare kan erstatte mistenkelig aktivitet og slutte å kjøre GitHub Actions allerede.
I ci.yml-behandleren lagt til av angriperne, inneholder «run»-parameteren obfuskert kode (eval «$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d»), som, når den kjøres, prøver å laste ned og kjøre gruveprogrammet. I de første variantene av angrepet fra forskjellige depoter ble et program kalt npm.exe lastet opp til GitHub og GitLab og kompilert til en kjørbar ELF-fil for Alpine Linux (brukt i Docker-bilder.) Nyere angrepsformer laster ned koden til en generisk XMRig miner fra det offisielle prosjektlageret, som deretter bygges med adresseerstatningslommebok og servere for sending av data.
Kilde: opennet.ru