GitHub bir qator hujumlarni tekshirmoqda, bunda tajovuzkorlar o‘z kodlarini ishga tushirish uchun GitHub Actions mexanizmidan foydalangan holda GitHub bulut infratuzilmasida kriptovalyuta qazib olishga muvaffaq bo‘lishgan. GitHub Actions-dan qazib olish uchun birinchi urinishlar o'tgan yilning noyabr oyida boshlangan.
GitHub Actions kod ishlab chiquvchilarga GitHub-da turli operatsiyalarni avtomatlashtirish uchun ishlov beruvchilarni biriktirish imkonini beradi. Masalan, GitHub Actions-dan foydalanib, siz yangi muammolarni hal qilishda muayyan tekshiruvlar va testlarni bajarishingiz yoki qayta ishlashni avtomatlashtirishingiz mumkin. Qazib olishni boshlash uchun tajovuzkorlar GitHub Actions-dan foydalanadigan omborning vilkasini yaratadilar, ularning nusxasiga yangi GitHub Actions qo‘shadilar va mavjud GitHub Actions ishlov beruvchilarini yangi “.github/workflows” bilan almashtirishni taklif qiluvchi asl omborga tortish so‘rovini yuboradilar. /ci.yml” ishlov beruvchisi.
Zararli tortish so'rovi tajovuzkor tomonidan belgilangan GitHub Actions ishlov beruvchisini ishga tushirish uchun bir nechta urinishlarni hosil qiladi, bu 72 soatdan so'ng vaqt tugashi tufayli uzilib qoladi, muvaffaqiyatsiz bo'ladi va keyin yana ishlaydi. Hujum qilish uchun tajovuzkor faqat tortishish so'rovini yaratishi kerak - ishlov beruvchi faqat shubhali faoliyatni o'zgartirishi va GitHub Actions-ni ishga tushirishni to'xtatishi mumkin bo'lgan asl ombor boshqaruvchilarining hech qanday tasdig'i yoki ishtirokisiz avtomatik ravishda ishlaydi.
Tajovuzkorlar tomonidan qo‘shilgan ci.yml ishlov beruvchisida “run” parametri noaniq kodni o‘z ichiga oladi (eval “$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d”), u bajarilganda kon dasturini yuklab olishga va ishga tushirishga harakat qiladi. Turli xil omborlardan hujumning birinchi variantlarida npm.exe deb nomlangan dastur GitHub va GitLab-ga yuklandi va Alpine Linux uchun bajariladigan ELF fayliga kompilyatsiya qilindi (Docker tasvirlarida ishlatiladi.) Hujumning yangi shakllari umumiy XMRig kodini yuklab oladi. rasmiy loyiha omboridan miner, keyin manzil o'rnini bosuvchi hamyon va ma'lumotlarni yuborish uchun serverlar bilan qurilgan.
Manba: opennet.ru