GitHub حملوں کی ایک سیریز کی تحقیقات کر رہا ہے جس میں حملہ آور اپنے کوڈ کو چلانے کے لیے GitHub ایکشن میکانزم کا استعمال کرتے ہوئے GitHub کلاؤڈ انفراسٹرکچر پر کریپٹو کرنسی کی کھدائی کرنے میں کامیاب ہوئے۔ کان کنی کے لیے GitHub ایکشنز کو استعمال کرنے کی پہلی کوششیں گزشتہ سال نومبر کی تھیں۔
GitHub ایکشنز کوڈ ڈویلپرز کو GitHub میں مختلف آپریشنز کو خودکار کرنے کے لیے ہینڈلرز کو منسلک کرنے کی اجازت دیتا ہے۔ مثال کے طور پر، GitHub ایکشنز کا استعمال کرتے ہوئے آپ کمٹ کرتے وقت کچھ چیک اور ٹیسٹ کر سکتے ہیں، یا نئے ایشوز کی پروسیسنگ کو خودکار کر سکتے ہیں۔ کان کنی شروع کرنے کے لیے، حملہ آور ریپوزٹری کا ایک کانٹا بناتے ہیں جو GitHub ایکشنز کا استعمال کرتا ہے، ان کی کاپی میں ایک نیا GitHub ایکشن شامل کرتا ہے، اور اصل ریپوزٹری کو پل کی درخواست بھیجتا ہے جس میں موجودہ GitHub ایکشن ہینڈلرز کو نئے ".github/workflows" سے تبدیل کرنے کی تجویز پیش کی جاتی ہے۔ /ci.yml" ہینڈلر۔
بدنیتی پر مبنی پل کی درخواست حملہ آور کے مخصوص GitHub ایکشن ہینڈلر کو چلانے کے لیے متعدد کوششیں پیدا کرتی ہے، جو 72 گھنٹے کے بعد ٹائم آؤٹ کی وجہ سے روکا جاتا ہے، ناکام ہوجاتا ہے، اور پھر دوبارہ چلتا ہے۔ حملہ کرنے کے لیے، ایک حملہ آور کو صرف پل کی درخواست بنانے کی ضرورت ہوتی ہے - ہینڈلر اصل ریپوزٹری مینٹینرز سے کسی تصدیق یا شرکت کے بغیر خود بخود چلتا ہے، جو صرف مشکوک سرگرمی کو بدل سکتا ہے اور پہلے سے GitHub ایکشنز کو چلانا بند کر سکتا ہے۔
حملہ آوروں کے ذریعہ شامل کردہ ci.yml ہینڈلر میں، "رن" پیرامیٹر میں مبہم کوڈ ہوتا ہے (eval “$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d”)، جو، جب عمل میں آتا ہے، مائننگ پروگرام کو ڈاؤن لوڈ کرنے اور چلانے کی کوشش کرتا ہے۔ مختلف ذخیروں سے حملے کی پہلی شکلوں میں npm.exe نامی ایک پروگرام GitHub اور GitLab پر اپ لوڈ کیا گیا اور الپائن لینکس کے لیے ایک قابل عمل ELF فائل میں مرتب کیا گیا (ڈوکر امیجز میں استعمال کیا جاتا ہے۔) حملے کی نئی شکلیں ایک عام XMRig کا کوڈ ڈاؤن لوڈ کرتی ہیں۔ آفیشل پروجیکٹ ریپوزٹری سے کان کن، جو پھر ایڈریس متبادل والیٹ اور ڈیٹا بھیجنے کے لیے سرورز کے ساتھ بنایا گیا ہے۔
ماخذ: opennet.ru