Suicide
05.04.2021, 19:56
GitHub расследует (https://therecord.media/github-investigating-crypto-mining-campaign-abusing-its-server-infrastructure/) серию атак, в ходе которых злоумышленникам удалось организовать майнинг криптовалюты в облачной инфраструктуре GitHub, используя для запуска своего кода механизм GitHub Actions (https://github.com/features/actions). Первые попытки использования GitHub Actions для майнинга датированы ноябрём прошлого года.
GitHub Actions даёт возможность разработчикам кода прикреплять обработчики для автоматизации различных операций в GitHub. Например, при помощи GitHub Actions можно выполнить определённые проверки и тесты при совершении коммитов или автоматизировать обработку новых Issues. Для запуска майнинга атакующие создают форк репозитория, в котором используется GitHub Actions, добавляют в свою копию новый GitHub Actions и отправляют (https://dev.to/thibaultduponchelle/the-github-action-mining-attack-through-pull-request-2lmc) в оригинальный репозиторий pull-запрос (https://twitter.com/JustinPerdok/status/1377970380086902794), предлагающий замену существующих обработчиков GitHub Actions на новый обработчик ".github/workflows/ci.yml".
Вредоносный pull-запрос порождает (https://github.com/thibaultduponchelle/messy-ci-workflows/actions/runs/549053847) многократные попытки запуска заданного атакующим обработчика GitHub Actions, который после 72 часов прерывается из-за таймаута, завершается сбоем и затем запускается вновь. Для атаки злоумышленнику достаточно лишь создать pull-запрос - обработчик запускается автоматически без какого-либо подтверждения или участия со стороны сопровождающих оригинального репозитория, которые лишь могут заметить подозрительную активность и остановить уже запущенные задания GitHub Actions.
В добавляемом атакующими обработчике ci.yml в параметре "run" присутствует (https://twitter.com/JustinPerdok/status/1377970934955573251) обфусицированный код (eval "$(echo 'YXB0IHVwZGF0ZSAt...' | base64 -d"), который при выполнении пытается загрузить (https://github.com/bhriscarnatt/first-repo/releases/download/a/pro) и запустить программу для майнинга. В первых вариантах атаки с разных (https://twitter.com/Ax_Sharma/status/1378344354826309632) репозиториев на GitHub и GitLab загружалась программа, названная npm.exe и собранная в форме исполняемого ELF-файла для Alpine Linux (используется в образах Docker). В более новых формах атаки загружается (https://www.bleepingcomputer.com/news/security/github-actions-being-actively-abused-to-mine-cryptocurrency-on-github-servers/) код типового майнера XMRig из официального репозитория (https://github.com/xmrig/xmrig) проекта, который затем собирается с подстановкой адреса кошелька и серверов для отправки данных.
05.04.2021
https://www.opennet.ru/opennews/art.shtml?num=54904
GitHub Actions даёт возможность разработчикам кода прикреплять обработчики для автоматизации различных операций в GitHub. Например, при помощи GitHub Actions можно выполнить определённые проверки и тесты при совершении коммитов или автоматизировать обработку новых Issues. Для запуска майнинга атакующие создают форк репозитория, в котором используется GitHub Actions, добавляют в свою копию новый GitHub Actions и отправляют (https://dev.to/thibaultduponchelle/the-github-action-mining-attack-through-pull-request-2lmc) в оригинальный репозиторий pull-запрос (https://twitter.com/JustinPerdok/status/1377970380086902794), предлагающий замену существующих обработчиков GitHub Actions на новый обработчик ".github/workflows/ci.yml".
Вредоносный pull-запрос порождает (https://github.com/thibaultduponchelle/messy-ci-workflows/actions/runs/549053847) многократные попытки запуска заданного атакующим обработчика GitHub Actions, который после 72 часов прерывается из-за таймаута, завершается сбоем и затем запускается вновь. Для атаки злоумышленнику достаточно лишь создать pull-запрос - обработчик запускается автоматически без какого-либо подтверждения или участия со стороны сопровождающих оригинального репозитория, которые лишь могут заметить подозрительную активность и остановить уже запущенные задания GitHub Actions.
В добавляемом атакующими обработчике ci.yml в параметре "run" присутствует (https://twitter.com/JustinPerdok/status/1377970934955573251) обфусицированный код (eval "$(echo 'YXB0IHVwZGF0ZSAt...' | base64 -d"), который при выполнении пытается загрузить (https://github.com/bhriscarnatt/first-repo/releases/download/a/pro) и запустить программу для майнинга. В первых вариантах атаки с разных (https://twitter.com/Ax_Sharma/status/1378344354826309632) репозиториев на GitHub и GitLab загружалась программа, названная npm.exe и собранная в форме исполняемого ELF-файла для Alpine Linux (используется в образах Docker). В более новых формах атаки загружается (https://www.bleepingcomputer.com/news/security/github-actions-being-actively-abused-to-mine-cryptocurrency-on-github-servers/) код типового майнера XMRig из официального репозитория (https://github.com/xmrig/xmrig) проекта, который затем собирается с подстановкой адреса кошелька и серверов для отправки данных.
05.04.2021
https://www.opennet.ru/opennews/art.shtml?num=54904