GitHub వారి కోడ్ని అమలు చేయడానికి GitHub యాక్షన్స్ మెకానిజంను ఉపయోగించి GitHub క్లౌడ్ ఇన్ఫ్రాస్ట్రక్చర్లో క్రిప్టోకరెన్సీని గని చేయగలిగేలా దాడి చేసే దాడుల శ్రేణిని GitHub పరిశీలిస్తోంది. మైనింగ్ కోసం GitHub చర్యలను ఉపయోగించడానికి మొదటి ప్రయత్నాలు గత సంవత్సరం నవంబర్ నాటివి.
GitHub చర్యలు GitHubలో వివిధ కార్యకలాపాలను ఆటోమేట్ చేయడానికి హ్యాండ్లర్లను జోడించడానికి కోడ్ డెవలపర్లను అనుమతిస్తుంది. ఉదాహరణకు, GitHub చర్యలను ఉపయోగించి మీరు కట్టుబడి ఉన్నప్పుడు నిర్దిష్ట తనిఖీలు మరియు పరీక్షలను నిర్వహించవచ్చు లేదా కొత్త సమస్యల ప్రాసెసింగ్ను ఆటోమేట్ చేయవచ్చు. మైనింగ్ ప్రారంభించడానికి, దాడి చేసేవారు GitHub చర్యలను ఉపయోగించే రిపోజిటరీ యొక్క ఫోర్క్ను సృష్టిస్తారు, వారి కాపీకి కొత్త GitHub చర్యలను జోడించి, ఇప్పటికే ఉన్న GitHub చర్యల హ్యాండ్లర్లను కొత్త “.github/workflowsతో భర్తీ చేయాలని ప్రతిపాదిస్తూ అసలు రిపోజిటరీకి పుల్ అభ్యర్థనను పంపుతారు. /ci.yml” హ్యాండ్లర్.
హానికరమైన పుల్ అభ్యర్థన దాడి చేసే వ్యక్తి-నిర్దిష్ట GitHub చర్యల హ్యాండ్లర్ను అమలు చేయడానికి బహుళ ప్రయత్నాలను సృష్టిస్తుంది, ఇది సమయం ముగిసిన కారణంగా 72 గంటల తర్వాత అంతరాయం కలిగింది, విఫలమవుతుంది, ఆపై మళ్లీ రన్ అవుతుంది. దాడి చేయడానికి, దాడి చేసే వ్యక్తి పుల్ అభ్యర్థనను మాత్రమే సృష్టించాలి - అసలైన రిపోజిటరీ మెయింటెయిన్ల నుండి ఎటువంటి నిర్ధారణ లేదా భాగస్వామ్యం లేకుండా హ్యాండ్లర్ స్వయంచాలకంగా నడుస్తుంది, వారు అనుమానాస్పద కార్యాచరణను మాత్రమే భర్తీ చేయగలరు మరియు ఇప్పటికే GitHub చర్యలను అమలు చేయడాన్ని ఆపివేయగలరు.
దాడి చేసేవారు జోడించిన ci.yml హ్యాండ్లర్లో, “రన్” పరామితి అస్పష్టమైన కోడ్ను కలిగి ఉంటుంది (eval “$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d”), ఇది అమలు చేయబడినప్పుడు, మైనింగ్ ప్రోగ్రామ్ను డౌన్లోడ్ చేసి, అమలు చేయడానికి ప్రయత్నిస్తుంది. వివిధ రిపోజిటరీల నుండి దాడికి సంబంధించిన మొదటి రూపాంతరాలలో npm.exe అనే ప్రోగ్రామ్ GitHub మరియు GitLabకి అప్లోడ్ చేయబడింది మరియు Alpine Linux కోసం ఎక్జిక్యూటబుల్ ELF ఫైల్గా కంపైల్ చేయబడింది (డాకర్ ఇమేజ్లలో ఉపయోగించబడుతుంది.) కొత్త రకాల దాడి సాధారణ XMRig కోడ్ని డౌన్లోడ్ చేస్తుంది. అధికారిక ప్రాజెక్ట్ రిపోజిటరీ నుండి మైనర్, ఇది డేటాను పంపడం కోసం చిరునామా ప్రత్యామ్నాయ వాలెట్ మరియు సర్వర్లతో నిర్మించబడింది.
మూలం: opennet.ru