ГитХуб истражује низ напада у којима су нападачи успели да ископају криптовалуте на ГитХуб цлоуд инфраструктури користећи механизам ГитХуб Ацтионс за покретање свог кода. Први покушаји коришћења ГитХуб Ацтионс за рударење датирају из новембра прошле године.
ГитХуб Ацтионс омогућава програмерима кода да прикаче руковаоце за аутоматизацију различитих операција у ГитХубу. На пример, помоћу ГитХуб Ацтионс можете извршити одређене провере и тестове приликом урезивања или аутоматизовати обраду нових проблема. Да би започели рударење, нападачи креирају виљушку спремишта које користи ГитХуб Ацтионс, додају нове ГитХуб Акције у њихову копију и шаљу захтев за повлачење оригиналном спремишту предлажући да се замени постојећи ГитХуб Ацтионс руковаоци са новим „.гитхуб/воркфловс /ци.имл” руковалац.
Злонамерни захтев за повлачење генерише вишеструке покушаје да се покрене руковалац ГитХуб Ацтионс који је одредио нападач, који се после 72 сата прекида због истека времена, не успева и затим се поново покреће. Да би напао, нападач треба само да креира захтев за повлачење – руковалац се покреће аутоматски без икакве потврде или учешћа од стране оригиналних одржавалаца спремишта, који могу само да замене сумњиву активност и престану да већ покрену ГитХуб Ацтионс.
У руковаоцу ци.имл који су додали нападачи, параметар „рун” садржи замагљени код (евал „$(ецхо 'ИКСБ0ИХВвЗГФ0ЗСАт…' | басе64 -д”), који, када се изврши, покушава да преузме и покрене програм за рударење. У првим варијантама напада из различитих спремишта Програм под називом нпм.еке је постављен на ГитХуб и ГитЛаб и компајлиран у извршну ЕЛФ датотеку за Алпине Линук (користи се у Доцкер сликама.) Новији облици напада преузимају код генеричког КСМРиг-а рудар из званичног репозиторијума пројекта, који се затим гради са новчаником за замену адресе и серверима за слање података.
Извор: опеннет.ру