O GitHub está investigando uma série de ataques em que invasores conseguiram extrair criptomoedas na infraestrutura em nuvem do GitHub usando o mecanismo GitHub Actions para executar seu código. As primeiras tentativas de usar GitHub Actions para mineração dataram de novembro do ano passado.
GitHub Actions permite que desenvolvedores de código anexem manipuladores para automatizar várias operações no GitHub. Por exemplo, usando GitHub Actions você pode realizar certas verificações e testes ao confirmar ou automatizar o processamento de novos problemas. Para iniciar a mineração, os invasores criam uma bifurcação do repositório que usa GitHub Actions, adicionam um novo GitHub Actions à sua cópia e enviam uma solicitação pull ao repositório original propondo substituir os manipuladores GitHub Actions existentes pelo novo “.github/workflows /ci.yml” manipulador.
A solicitação pull maliciosa gera várias tentativas de executar o manipulador GitHub Actions especificado pelo invasor, que após 72 horas é interrompido devido a um tempo limite, falha e é executado novamente. Para atacar, um invasor só precisa criar uma solicitação pull - o manipulador é executado automaticamente sem qualquer confirmação ou participação dos mantenedores do repositório original, que podem apenas substituir atividades suspeitas e interromper a execução do GitHub Actions.
No manipulador ci.yml adicionado pelos invasores, o parâmetro “run” contém código ofuscado (eval “$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d”), que, quando executado, tenta baixar e executar o programa de mineração. Nas primeiras variantes do ataque de diferentes repositórios, um programa chamado npm.exe foi carregado no GitHub e GitLab e compilado em um arquivo ELF executável para Alpine Linux (usado em imagens Docker). minerador do repositório oficial do projeto, que é então construído com carteira de substituição de endereço e servidores para envio de dados.
Fonte: opennet.ru