GitHub inachunguza mfululizo wa mashambulizi ambapo washambuliaji walifanikiwa kuchimba sarafu ya crypto kwenye miundombinu ya wingu ya GitHub kwa kutumia utaratibu wa Vitendo vya GitHub kutekeleza nambari zao. Majaribio ya kwanza ya kutumia Vitendo vya GitHub kwa uchimbaji madini yalianzia Novemba mwaka jana.
Vitendo vya GitHub huruhusu watengenezaji wa msimbo kuambatanisha vidhibiti ili kugeuza shughuli mbalimbali katika GitHub. Kwa mfano, kwa kutumia Vitendo vya GitHub unaweza kufanya ukaguzi na majaribio fulani wakati wa kufanya, au kubinafsisha uchakataji wa Masuala mapya. Ili kuanza kuchimba madini, wavamizi huunda uma wa hazina inayotumia Vitendo vya GitHub, kuongeza Vitendo mpya vya GitHub kwenye nakala zao, na kutuma ombi la kuvuta kwenye hazina asili inayopendekeza kubadilisha vidhibiti vilivyopo vya GitHub na β.github/workflows mpya. /ci.ymlβ kidhibiti.
Ombi la kuvuta kwa nia mbaya huzalisha majaribio mengi ya kuendesha kidhibiti cha Vitendo cha GitHub kilichobainishwa na mvamizi, ambacho baada ya saa 72 hukatizwa kwa sababu ya kuisha kwa muda, hushindwa, na kisha huendesha tena. Ili kushambulia, mshambuliaji anahitaji tu kuunda ombi la kuvuta - kidhibiti huendesha kiotomatiki bila uthibitisho wowote au ushiriki kutoka kwa watunza hazina asili, ambao wanaweza tu kuchukua nafasi ya shughuli za kutiliwa shaka na kuacha tayari kuendesha Vitendo vya GitHub.
Katika kidhibiti cha ci.yml kilichoongezwa na washambuliaji, kigezo cha "kimbia" kina msimbo uliofichwa (eval β$(echo 'YXB0IHVwZGF0ZSAtβ¦' | base64 -dβ), ambayo, inapotekelezwa, hujaribu kupakua na kuendesha programu ya uchimbaji madini. Katika lahaja za kwanza za shambulio kutoka kwa hazina tofauti Programu inayoitwa npm.exe ilipakiwa kwenye GitHub na GitLab na kukusanywa katika faili inayoweza kutekelezeka ya ELF ya Alpine Linux (inayotumika kwenye picha za Docker.) Aina mpya zaidi za mashambulizi pakua msimbo wa XMRig ya jumla. mchimba madini kutoka kwa hazina rasmi ya mradi, ambayo hujengwa kwa pochi ya kubadilisha anwani na seva za kutuma data.
Chanzo: opennet.ru