GitHub undersöker en serie attacker där angripare lyckades bryta kryptovaluta på GitHubs molninfrastruktur med hjälp av GitHub Actions-mekanismen för att köra sin kod. De första försöken att använda GitHub Actions för gruvdrift daterades tillbaka till november förra året.
GitHub Actions tillåter kodutvecklare att bifoga hanterare för att automatisera olika operationer i GitHub. Till exempel, med hjälp av GitHub Actions kan du utföra vissa kontroller och tester när du gör commits eller automatisera behandlingen av nya Issues. För att börja mining skapar angripare en gaffel av förvaret som använder GitHub Actions, lägger till en ny GitHub Actions till sin kopia och skickar en pull-begäran till det ursprungliga förvaret och föreslår att de befintliga GitHub Actions-hanterarna ska ersättas med de nya ".github/workflows". /ci.yml”-hanteraren.
Den skadliga pull-begäran genererar flera försök att köra den angriparspecificerade GitHub Actions-hanteraren, som efter 72 timmar avbryts på grund av en timeout, misslyckas och sedan körs igen. För att attackera behöver en angripare bara skapa en pull-begäran - hanteraren startas automatiskt utan någon bekräftelse eller deltagande från de ursprungliga arkivunderhållarna, som bara kan ersätta misstänkt aktivitet och sluta redan köra GitHub Actions.
I ci.yml-hanteraren som lagts till av angriparna innehåller parametern "run" obfuskerad kod (eval "$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d"), som, när den körs, försöker ladda ner och köra gruvprogrammet. I de första varianterna av attacken från olika arkiv laddades ett program som heter npm.exe upp till GitHub och GitLab och kompilerades till en körbar ELF-fil för Alpine Linux (används i Docker-bilder.) Nyare attackformer laddar ner koden för en generisk XMRig miner från det officiella projektförrådet, som sedan byggs med adressersättningsplånbok och servrar för att skicka data.
Källa: opennet.ru