Sinisiyasat ng GitHub ang isang serye ng mga pag-atake kung saan nagawa ng mga umaatake na minahan ang cryptocurrency sa imprastraktura ng cloud ng GitHub gamit ang mekanismo ng GitHub Actions upang patakbuhin ang kanilang code. Ang mga unang pagtatangka na gamitin ang GitHub Actions para sa pagmimina ay napetsahan noong Nobyembre noong nakaraang taon.
Binibigyang-daan ng GitHub Actions ang mga developer ng code na mag-attach ng mga handler para i-automate ang iba't ibang operasyon sa GitHub. Halimbawa, gamit ang GitHub Actions maaari kang magsagawa ng ilang partikular na pagsusuri at pagsubok kapag gumagawa, o i-automate ang pagproseso ng mga bagong Isyu. Upang simulan ang pagmimina, ang mga umaatake ay gumagawa ng isang tinidor ng repositoryo na gumagamit ng GitHub Actions, magdagdag ng bagong GitHub Actions sa kanilang kopya, at magpadala ng pull request sa orihinal na repositoryo na nagmumungkahi na palitan ang mga kasalukuyang tagapangasiwa ng GitHub Actions ng bagong β.github/workflows /ci.ymlβ handler.
Ang nakakahamak na kahilingan sa paghila ay bumubuo ng maraming pagsubok na patakbuhin ang tagapangasiwa ng GitHub Actions na tinukoy ng attacker, na pagkaraan ng 72 oras ay naaantala dahil sa isang timeout, nabigo, at pagkatapos ay tatakbo muli. Para umatake, kailangan lang ng isang attacker na gumawa ng pull request - awtomatikong tumatakbo ang handler nang walang anumang kumpirmasyon o partisipasyon mula sa orihinal na mga maintainer ng repository, na maaari lamang palitan ang kahina-hinalang aktibidad at ihinto na ang pagpapatakbo ng GitHub Actions.
Sa ci.yml handler na idinagdag ng mga attacker, ang parameter na βrunβ ay naglalaman ng obfuscated na code (eval β$(echo 'YXB0IHVwZGF0ZSAtβ¦' | base64 -dβ), na, kapag naisakatuparan, ay sumusubok na i-download at patakbuhin ang mining program. Sa mga unang variant ng pag-atake mula sa iba't ibang mga repositoryo Ang isang program na tinatawag na npm.exe ay na-upload sa GitHub at GitLab at pinagsama-sama sa isang executable na ELF file para sa Alpine Linux (ginamit sa mga larawan ng Docker.) Ang mga bagong paraan ng pag-atake ay nag-download ng code ng isang generic na XMRig minero mula sa opisyal na imbakan ng proyekto, na pagkatapos ay binuo gamit ang address substitution wallet at mga server para sa pagpapadala ng data.
Pinagmulan: opennet.ru