GitHub 正在調查一系列攻擊,攻擊者使用 GitHub Actions 機制運行程式碼,設法在 GitHub 雲端基礎架構上挖掘加密貨幣。 第一次嘗試使用 GitHub Actions 進行挖礦可以追溯到去年 XNUMX 月。
GitHub Actions 允許程式碼開發人員附加處理程序以自動執行 GitHub 中的各種操作。 例如,使用 GitHub Actions,您可以在提交時執行某些檢查和測試,或自動處理新問題。 為了開始挖掘,攻擊者創建使用GitHub Actions 的儲存庫的分支,將新的GitHub Actions 加入其副本中,並向原始儲存庫發送拉取請求,提議用新的「.github/workflows」取代現有的GitHub Actions 處理程序/ci.yml」處理程序。
惡意拉取請求會多次嘗試執行攻擊者指定的 GitHub Actions 處理程序,該處理程序會在 72 小時後因逾時而中斷、失敗,然後再次執行。 要進行攻擊,攻擊者只需建立拉取請求 - 處理程序會自動執行,無需原始儲存庫維護者的任何確認或參與,原始儲存庫維護者只能替換可疑活動並停止已運行的 GitHub Actions。
在攻擊者新增的 ci.yml 處理程序中,「run」參數包含混淆程式碼(eval “$(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d”),該程式碼在執行時會嘗試下載並執行挖礦程式。在來自不同儲存庫的攻擊的第一個變體中,名為npm.exe 的程式被上傳到GitHub 和GitLab,並編譯成Alpine Linux 的可執行ELF 檔案(在Docker 映像中使用)。較新的攻擊形式會下載通用XMRig 的程式碼來自官方專案儲存庫的礦工,然後使用位址替換錢包和用於發送資料的伺服器建置。
來源: opennet.ru