GitHub po heton një seri sulmesh në të cilat sulmuesit arritën të minojnë kriptomonedhën në infrastrukturën cloud të GitHub duke përdorur mekanizmin GitHub Actions për të ekzekutuar kodin e tyre. Përpjekjet e para për të përdorur GitHub Actions për miniera datuan në nëntor të vitit të kaluar.
GitHub Actions lejon zhvilluesit e kodit të bashkëngjisin mbajtës për të automatizuar operacione të ndryshme në GitHub. Për shembull, duke përdorur GitHub Actions ju mund të kryeni kontrolle dhe teste të caktuara kur kryeni, ose të automatizoni përpunimin e Çështjeve të reja. Për të filluar minierën, sulmuesit krijojnë një depo të depove që përdor GitHub Actions, shtojnë një të ri GitHub Actions në kopjen e tyre dhe dërgojnë një kërkesë tërheqjeje te depoja origjinale duke propozuar zëvendësimin e mbajtësve ekzistues të GitHub Actions me ".github/workflows" të rinj /ci.yml” trajtues.
Kërkesa për tërheqje me qëllim të keq gjeneron përpjekje të shumta për të ekzekutuar mbajtësin e GitHub Actions të specifikuar nga sulmuesi, i cili pas 72 orësh ndërpritet për shkak të një afati kohor, dështon dhe më pas ekzekutohet përsëri. Për të sulmuar, një sulmues duhet vetëm të krijojë një kërkesë tërheqjeje - mbajtësi funksionon automatikisht pa ndonjë konfirmim ose pjesëmarrje nga mirëmbajtësit origjinal të depove, të cilët mund të zëvendësojnë vetëm aktivitetin e dyshimtë dhe të ndalojnë ekzekutimin tashmë të Veprimeve të GitHub.
Në mbajtësin ci.yml të shtuar nga sulmuesit, parametri "run" përmban kod të turbullt (eval "$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d"), i cili, kur ekzekutohet, përpiqet të shkarkojë dhe ekzekutojë programin e minierës. Në variantet e para të sulmit nga depo të ndryshme Një program i quajtur npm.exe u ngarkua në GitHub dhe GitLab dhe u përpilua në një skedar ELF të ekzekutueshëm për Alpine Linux (përdorur në imazhet Docker.) Format më të reja të sulmit shkarkojnë kodin e një XMRig gjenerik miner nga depoja zyrtare e projektit, e cila më pas ndërtohet me portofolin e zëvendësimit të adresave dhe serverët për dërgimin e të dhënave.
Burimi: opennet.ru