GitHub vyšetruje sériu útokov, pri ktorých sa útočníkom podarilo ťažiť kryptomenu na cloudovej infraštruktúre GitHub pomocou mechanizmu GitHub Actions na spustenie ich kódu. Prvé pokusy o využitie akcií GitHub na ťažbu sa datujú do novembra minulého roka.
GitHub Actions umožňuje vývojárom kódu pripojiť obslužné programy na automatizáciu rôznych operácií v GitHub. Napríklad pomocou akcií GitHub môžete vykonávať určité kontroly a testy pri potvrdení alebo automatizovať spracovanie nových problémov. Ak chcete začať ťažiť, útočníci vytvoria vidlicu úložiska, ktoré používa akcie GitHub, pridajú do svojej kópie nové akcie GitHub a pošlú požiadavku na stiahnutie do pôvodného úložiska s návrhom nahradiť existujúce obslužné nástroje akcií GitHub novými „.github/workflows“. /ci.yml” handler.
Škodlivá požiadavka na stiahnutie generuje viacero pokusov o spustenie obslužného programu akcií GitHub špecifikovaného útočníkom, ktorý sa po 72 hodinách preruší z dôvodu časového limitu, zlyhá a potom sa znova spustí. K útoku útočníkovi stačí vytvoriť požiadavku na stiahnutie – handler sa spustí automaticky bez akéhokoľvek potvrdenia alebo účasti od pôvodných správcov úložiska, ktorí môžu iba nahradiť podozrivú aktivitu a zastaviť už spustené akcie GitHub.
V obslužnom programe ci.yml, ktorý pridali útočníci, obsahuje parameter „run“ zahmlený kód (eval „$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d“), ktorý sa po spustení pokúsi stiahnuť a spustiť ťažobný program. V prvých variantoch útoku z rôznych úložísk Program s názvom npm.exe bol nahraný na GitHub a GitLab a skompilovaný do spustiteľného súboru ELF pre Alpine Linux (používaný v obrázkoch Docker). Novšie formy útoku stiahnite si kód generického XMRig baník z oficiálneho projektového repozitára, ktorý je následne zostavený s peňaženkou na nahradenie adries a servermi na odosielanie dát.
Zdroj: opennet.ru