GitHub กำลังตรวจสอบการโจมตีหลายครั้งซึ่งผู้โจมตีจัดการเพื่อขุด cryptocurrency บนโครงสร้างพื้นฐานคลาวด์ GitHub โดยใช้กลไก GitHub Actions เพื่อเรียกใช้โค้ดของพวกเขา ความพยายามครั้งแรกในการใช้ GitHub Actions สำหรับการขุดย้อนกลับไปเมื่อเดือนพฤศจิกายนปีที่แล้ว
GitHub Actions ช่วยให้นักพัฒนาโค้ดแนบตัวจัดการเพื่อทำให้การดำเนินการต่างๆ ใน GitHub เป็นแบบอัตโนมัติได้ ตัวอย่างเช่น การใช้ GitHub Actions ช่วยให้คุณสามารถตรวจสอบและทดสอบบางอย่างเมื่อดำเนินการ หรือทำให้การประมวลผลปัญหาใหม่เป็นแบบอัตโนมัติ ในการเริ่มการขุด ผู้โจมตีจะสร้างทางแยกของพื้นที่เก็บข้อมูลที่ใช้ GitHub Actions เพิ่ม GitHub Actions ใหม่ลงในสำเนา และส่งคำขอดึงไปยังพื้นที่เก็บข้อมูลเดิมโดยเสนอให้แทนที่ตัวจัดการ GitHub Actions ที่มีอยู่ด้วย “.github/workflows ใหม่” /ci.yml” ตัวจัดการ
คำขอดึงที่เป็นอันตรายสร้างความพยายามหลายครั้งในการเรียกใช้ตัวจัดการ GitHub Actions ที่ผู้โจมตีระบุ ซึ่งหลังจาก 72 ชั่วโมงถูกขัดจังหวะเนื่องจากการหมดเวลา ล้มเหลว จากนั้นจึงเรียกใช้อีกครั้ง ในการโจมตี ผู้โจมตีจำเป็นต้องสร้างคำขอดึงเท่านั้น - ตัวจัดการจะถูกเปิดใช้งานโดยอัตโนมัติโดยไม่มีการยืนยันหรือการมีส่วนร่วมจากผู้ดูแลพื้นที่เก็บข้อมูลดั้งเดิม ซึ่งสามารถแทนที่กิจกรรมที่น่าสงสัยเท่านั้นและหยุดเรียกใช้ GitHub Actions อยู่แล้ว
ในตัวจัดการ ci.yml ที่ผู้โจมตีเพิ่มเข้ามา พารามิเตอร์ “run” มีโค้ดที่สับสน (eval “$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d”) ซึ่งเมื่อดำเนินการแล้ว จะพยายามดาวน์โหลดและรันโปรแกรมการขุด ในรูปแบบแรกของการโจมตีจากแหล่งเก็บข้อมูลต่างๆ โปรแกรมที่เรียกว่า npm.exe จะถูกอัพโหลดไปยัง GitHub และ GitLab และคอมไพล์เป็นไฟล์ ELF ที่ปฏิบัติการได้สำหรับ Alpine Linux (ใช้ในอิมเมจ Docker) รูปแบบการโจมตีที่ใหม่กว่าจะดาวน์โหลดโค้ดของเวอร์ชันทั่วไป เครื่องมือขุด XMRig จากพื้นที่เก็บข้อมูลโครงการอย่างเป็นทางการ ซึ่งจะถูกรวบรวมด้วยกระเป๋าเงินทดแทนที่อยู่และเซิร์ฟเวอร์สำหรับการส่งข้อมูล
ที่มา: opennet.ru