GitHub nalungtik runtuyan serangan dimana panyerang junun nambang cryptocurrency dina infrastruktur awan GitHub ngagunakeun mékanisme GitHub Actions pikeun ngajalankeun kode maranéhanana. Usaha munggaran ngagunakeun GitHub Actions pikeun pertambangan tanggal deui ka Nopémber taun ka tukang.
Aksi GitHub ngamungkinkeun pamekar kode ngagantelkeun pawang pikeun ngajadikeun otomatis sababaraha operasi di GitHub. Contona, ngagunakeun GitHub Actions anjeun tiasa ngalakukeun cek sareng tes anu tangtu nalika ngalakukeun, atanapi ngajadikeun otomatis ngolah Masalah anyar. Pikeun ngamimitian pertambangan, panyerang nyiptakeun garpu tina Repositori anu nganggo GitHub Actions, tambahkeun GitHub Actions anyar kana salinanana, sareng ngirimkeun pamundut tarik ka gudang asli anu ngusulkeun pikeun ngagentos pawang GitHub Actions anu tos aya ku ".github/workflows" anyar. /ci.yml" panangan.
Paménta tarik jahat ngahasilkeun sababaraha usaha pikeun ngajalankeun panangan GitHub Actions anu diserang ku panyerang, anu saatos 72 jam kaganggu kusabab waktosna, gagal, teras jalan deui. Pikeun nyerang, panyerang ngan ukur kedah ngadamel pamenta tarik - pawang ngajalankeun otomatis tanpa konfirmasi atanapi partisipasi ti pangurus gudang asli, anu ngan ukur tiasa ngagentos kagiatan anu curiga sareng ngeureunkeun parantos ngajalankeun GitHub Actions.
Dina panangan ci.yml ditambahkeun ku panyerang, parameter "run" ngandung kode obfuscated (eval "$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d"), nu, nalika dieksekusi, nyoba ngundeur tur ngajalankeun program pertambangan. Dina varian mimiti serangan ti repositories béda A program disebut npm.exe ieu diunggah ka GitHub na GitLab tur disusun kana file ELF laksana pikeun Alpine Linux Ubuntu (dipaké dina gambar Docker.) Bentuk serangan anyar ngundeur kodeu XMRig generik. panambang ti Repository proyék resmi, nu lajeng diwangun ku dompét substitusi alamat na server pikeun ngirim data.
sumber: opennet.ru