GitHub 正在调查一系列攻击,攻击者使用 GitHub Actions 机制运行代码,设法在 GitHub 云基础设施上挖掘加密货币。 第一次尝试使用 GitHub Actions 进行挖矿可以追溯到去年 XNUMX 月。
GitHub Actions 允许代码开发人员附加处理程序以自动执行 GitHub 中的各种操作。 例如,使用 GitHub Actions,您可以在提交时执行某些检查和测试,或自动处理新问题。 为了开始挖掘,攻击者创建使用 GitHub Actions 的存储库的分支,将新的 GitHub Actions 添加到其副本中,并向原始存储库发送拉取请求,提议用新的“.github/workflows”替换现有的 GitHub Actions 处理程序/ci.yml”处理程序。
恶意拉取请求会多次尝试运行攻击者指定的 GitHub Actions 处理程序,该处理程序会在 72 小时后因超时而中断、失败,然后再次运行。 要进行攻击,攻击者只需创建拉取请求 - 处理程序会自动运行,无需原始存储库维护者的任何确认或参与,原始存储库维护者只能替换可疑活动并停止已运行的 GitHub Actions。
在攻击者添加的 ci.yml 处理程序中,“run”参数包含混淆代码(eval “$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d”),该代码在执行时会尝试下载并运行挖矿程序。在来自不同存储库的攻击的第一个变体中,名为 npm.exe 的程序被上传到 GitHub 和 GitLab,并编译成 Alpine Linux 的可执行 ELF 文件(在 Docker 映像中使用)。较新的攻击形式会下载通用 XMRig 的代码来自官方项目存储库的矿工,然后使用地址替换钱包和用于发送数据的服务器构建。
来源: opennet.ru