GitHub розслідує серію атак, під час яких зловмисникам вдалося організувати майнінг криптовалюти в хмарній інфраструктурі GitHub, використовуючи для запуску свого коду механізм GitHub Actions. Перші спроби використання GitHub Actions для майнінгу датовані листопадом минулого року.
GitHub Actions дає можливість розробникам коду прикріплювати обробники для автоматизації різних операцій на GitHub. Наприклад, за допомогою GitHub Actions можна виконати певні перевірки та тести під час здійснення коммітів або автоматизувати обробку нових Issues. Для запуску майнінгу атакуючі створюють форк репозиторію, в якому використовується GitHub Actions, додають у свою копію новий GitHub Actions і відправляють в оригінальний репозиторій pull-запит, що пропонує заміну існуючих обробників GitHub Actions на новий обробник .github/workflows/ciyml.
Шкідливий pull-запит породжує багаторазові спроби запуску заданого атакуючим обробника GitHub Actions, який після 72 годин переривається через тайм-аут, завершується збоєм і потім запускається знову. Для атаки зловмиснику достатньо лише створити pull-запит — обробник запускається автоматично без будь-якого підтвердження чи участі з боку супроводжуючих оригінального репозиторію, які лише можуть замінити підозрілу активність та зупинити вже запущені завдання GitHub Actions.
У доданому атакуючими обробнику ci.yml у параметрі «run» присутній обфусикований код (eval «$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d»), який при виконанні намагається завантажити і запустити програму для майнінгу. У перших варіантах атаки на GitHub і GitLab завантажувалася програма, названа npm.exe і зібрана у формі виконуваного ELF-файлу для Alpine Linux (використовується в образах Docker). гаманця та серверів для надсилання даних.
Джерело: opennet.ru