GitHub nalungtik runtuyan serangan dimana panyerang junun nambang cryptocurrency dina infrastruktur awan GitHub ngagunakeun mékanisme GitHub Actions pikeun ngajalankeun kode maranéhanana. Usaha munggaran ngagunakeun GitHub Actions pikeun pertambangan tanggal deui ka Nopémber taun ka tukang.
Aksi GitHub ngamungkinkeun pamekar kode ngagantelkeun pawang pikeun ngajadikeun otomatis sababaraha operasi di GitHub. Contona, ngagunakeun GitHub Actions anjeun tiasa ngalakukeun cek sareng tes anu tangtu nalika ngalakukeun, atanapi ngajadikeun otomatis ngolah Masalah anyar. Pikeun ngamimitian pertambangan, panyerang nyiptakeun garpu tina Repositori anu nganggo GitHub Actions, tambahkeun GitHub Actions anyar kana salinanana, sareng ngirimkeun pamundut tarik ka gudang asli anu ngusulkeun pikeun ngagentos pawang GitHub Actions anu tos aya ku ".github/workflows" anyar. /ci.yml" panangan.
Paménta tarik jahat ngahasilkeun sababaraha usaha pikeun ngajalankeun panangan GitHub Actions anu diserang ku panyerang, anu saatos 72 jam kaganggu kusabab waktosna, gagal, teras jalan deui. Pikeun nyerang, panyerang ngan ukur kedah ngadamel pamenta tarik - pawang ngajalankeun otomatis tanpa konfirmasi atanapi partisipasi ti pangurus gudang asli, anu ngan ukur tiasa ngagentos kagiatan anu curiga sareng ngeureunkeun parantos ngajalankeun GitHub Actions.
Pangendali ci.yml anu ditambahkeun ku panyerang ngandung kode anu dikaburkan dina parameter "run" (eval "$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d"), anu, nalika dieksekusi, nyobian ngaunduh sareng ngajalankeun program penambangan. Dina varian serangan anu munggaran, program anu dingaranan npm.exe, anu dikompilasi salaku ELF anu tiasa dieksekusi pikeun Alpine, diunduh tina sababaraha repositori dina GitHub sareng GitLab. Linux (dianggo dina gambar Docker). Bentuk serangan anu langkung énggal ngaunduh kodeu panambang XMRig has tina gudang resmi proyék, anu teras dirakit ku cara ngagantikeun alamat dompét sareng server pikeun ngirim data.
sumber: opennet.ru
