GitHub investighează o serie de atacuri în care atacatorii au reușit să mine criptomonede în infrastructura cloud GitHub folosind mecanismul GitHub Actions pentru a-și rula codul. Primele încercări de a folosi GitHub Actions pentru minerit datează din noiembrie anul trecut.
GitHub Actions le permite dezvoltatorilor de cod să atașeze handlere pentru a automatiza diverse operațiuni în GitHub. De exemplu, folosind GitHub Actions, puteți efectua anumite verificări și teste atunci când comiteți sau automatizați procesarea problemelor noi. Pentru a începe exploatarea, atacatorii creează un fork al depozitului care utilizează GitHub Actions, adaugă o nouă GitHub Actions la copia lor și trimit o cerere de extragere la depozitul original, propunând înlocuirea gestionarilor GitHub Actions existente cu noul „.github/workflows. /ci.yml” handler.
Solicitarea de extragere rău intenționată generează mai multe încercări de a rula handlerul GitHub Actions specificat de atacator, care după 72 de ore este întrerupt din cauza unui timeout, eșuează și apoi rulează din nou. Pentru a ataca, un atacator trebuie doar să creeze o cerere de extragere - handlerul rulează automat, fără nicio confirmare sau participare din partea întreținătorilor de depozit inițial, care pot doar să înlocuiască activitatea suspectă și să nu mai ruleze GitHub Actions.
În handlerul ci.yml adăugat de atacatori, parametrul „run” conține cod ofuscat (eval „$(echo 'YXB0IHVwZGF0ZSAt...' | base64 -d”), care, atunci când este executat, încearcă să descarce și să ruleze programul de mining. În primele variante ale atacului din diferite depozite Un program numit npm.exe a fost încărcat în GitHub și GitLab și compilat într-un fișier ELF executabil pentru Alpine Linux (utilizat în imaginile Docker.) Forme mai noi de atac descarcă codul unui XMRig generic miner din depozitul oficial al proiectului, care este apoi construit cu portofel de înlocuire a adresei și servere pentru trimiterea datelor.
Sursa: opennet.ru