GitHub preiskuje serijo napadov, v katerih je napadalcem uspelo rudariti kriptovalute v infrastrukturi oblaka GitHub z uporabo mehanizma GitHub Actions za zagon njihove kode. Prvi poskusi uporabe GitHub Actions za rudarjenje segajo v november lani.
GitHub Actions omogoča razvijalcem kode, da priložijo upravljalnike za avtomatizacijo različnih operacij v GitHubu. Na primer, z uporabo GitHub Actions lahko izvedete določena preverjanja in preizkuse pri predaji ali avtomatizirate obdelavo novih težav. Za začetek rudarjenja napadalci ustvarijo razcep repozitorija, ki uporablja dejanja GitHub, svoji kopiji dodajo nova dejanja GitHub in izvirnemu repozitoriju pošljejo zahtevo za vleko, ki predlaga zamenjavo obstoječih upravljavcev dejanj GitHub z novimi ».github/workflows«. /ci.yml«.
Zlonamerna zahteva za vleko ustvari več poskusov zagona upravljalnika GitHub Actions, ki ga določi napadalec, ki se po 72 urah prekine zaradi časovne omejitve, ne uspe in se nato znova zažene. Za napad mora napadalec ustvariti le zahtevo za vleko – upravljavec se zažene samodejno brez kakršne koli potrditve ali sodelovanja vzdrževalcev prvotnega repozitorija, ki lahko le nadomestijo sumljivo dejavnost in ustavijo že izvajana dejanja GitHub.
V upravljalniku ci.yml, ki so ga dodali napadalci, parameter »run« vsebuje zakrito kodo (eval »$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d«), ki ob izvedbi poskuša prenesti in zagnati rudarski program. V prvih različicah napada iz različnih skladišč Program z imenom npm.exe je bil naložen v GitHub in GitLab ter preveden v izvedljivo datoteko ELF za Alpine Linux (uporablja se v slikah Docker.) Novejše oblike napadov prenesejo kodo generičnega XMRiga rudar iz uradnega repozitorija projekta, ki je nato zgrajen z denarnico za zamenjavo naslovov in strežniki za pošiljanje podatkov.
Vir: opennet.ru