GitHub حملن جي هڪ سلسلي جي تحقيق ڪري رهيو آهي جنهن ۾ حملو ڪندڙ انهن جي ڪوڊ کي هلائڻ لاءِ GitHub ايڪشن ميڪانيزم استعمال ڪندي GitHub ڪلائوڊ انفراسٽرڪچر تي cryptocurrency کي منظم ڪيو. استعمال ڪرڻ جي پهرين ڪوششون GitHub ڪارناما کان کني لاءِ گذريل سال نومبر تائين پهتيون.
GitHub ڪارناما ڪوڊ ڊولپرز کي اجازت ڏئي ٿو ته ھٿيارن کي ڳنڍڻ لاء GitHub ۾ مختلف عملن کي خودڪار ڪرڻ لاء. مثال طور، GitHub ايڪشن استعمال ڪندي توهان ڪجهه چيڪ ۽ ٽيسٽ انجام ڏئي سگهو ٿا جڏهن ڪم ڪري رهيا آهيو، يا نون مسئلن جي پروسيسنگ کي خودڪار ڪري سگهو ٿا. مائننگ شروع ڪرڻ لاءِ، حملو ڪندڙ مخزن جو هڪ ڪانٽو ٺاهيندا آهن جيڪي GitHub Actions استعمال ڪندا آهن، انهن جي ڪاپي ۾ هڪ نئون GitHub Actions شامل ڪندا آهن، ۽ اصل مخزن ڏانهن پل جي درخواست موڪليندا آهن ته موجوده GitHub ايڪشن هينڊلر کي نئين ”.github/workflows سان تبديل ڪرڻ جي تجويز. /ci.yml" سنڀاليندڙ.
بدسلوڪي پل جي درخواست حملي ڪندڙ-مخصوص GitHub ايڪشن هينڊلر کي هلائڻ لاءِ گھڻن ڪوششون پيدا ڪري ٿي، جيڪو 72 ڪلاڪن کان پوءِ ٽائم آئوٽ جي ڪري روڪيو وڃي ٿو، ناڪام ٿئي ٿو، ۽ پوءِ ٻيهر هلندو آهي. حملو ڪرڻ لاءِ، هڪ حملو ڪندڙ کي صرف پلڻ جي درخواست ٺاهڻ جي ضرورت آهي - هينڊلر اصل مخزن جي سنڀاليندڙن کان بغير ڪنهن تصديق يا شموليت جي خودڪار طريقي سان هلندو آهي، جيڪو صرف مشڪوڪ سرگرمي کي تبديل ڪري سگهي ٿو ۽ اڳ ۾ ئي GitHub عملن کي هلائڻ بند ڪري سگهي ٿو.
حملي ڪندڙن پاران شامل ڪيل ci.yml هينڊلر ۾، "رن" پيٽرولر ۾ مبهم ڪوڊ شامل آهي (eval "$(echo 'YXB0IHVwZGF0ZSAt...' | base64 -d")، جيڪو، جڏهن عمل ڪيو وڃي ٿو، ڊائون لوڊ ڪرڻ جي ڪوشش ڪري ٿو ۽ مائننگ پروگرام کي هلائڻ جي ڪوشش ڪري ٿو. مختلف ذخيرن کان حملي جي پهرين مختلف قسمن ۾ هڪ پروگرام جنهن کي npm.exe سڏيو ويندو آهي GitHub ۽ GitLab تي اپ لوڊ ڪيو ويو ۽ الپائن لينڪس لاءِ هڪ قابل عمل ELF فائل ۾ مرتب ڪيو ويو (ڊاڪر تصويرن ۾ استعمال ٿيل.) حملي جا نوان فارم هڪ عام XMRig جو ڪوڊ ڊائون لوڊ ڪريو. سرڪاري پروجيڪٽ جي مخزن مان مائنر، جيڪو پوءِ ايڊريس متبادل والٽ ۽ ڊيٽا موڪلڻ لاءِ سرور سان ٺهيل آهي.
جو ذريعو: opennet.ru