Атака на GitHub Actions для майнинга криптовалюты на северах GitHub
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
GitHub расследует серию атак, в ходе которых злоумышленникам удалось организовать майнинг криптовалюты в облачной инфраструктуре GitHub, используя для запуска своего кода механизм GitHub Actions. Первые попытки использования GitHub Actions для майнинга датированы ноябрём прошлого года.
GitHub Actions даёт возможность разработчикам кода прикреплять обработчики для автоматизации различных операций в GitHub. Например, при помощи GitHub Actions можно выполнить определённые проверки и тесты при совершении коммитов или автоматизировать обработку новых Issues. Для запуска майнинга атакующие создают форк репозитория, в котором используется GitHub Actions, добавляют в свою копию новый GitHub Actions и отправляют в оригинальный репозиторий pull-запрос, предлагающий замену существующих обработчиков GitHub Actions на новый обработчик ".github/workflows/ci.yml".
Вредоносный pull-запрос порождает многократные попытки запуска заданного атакующим обработчика GitHub Actions, который после 72 часов прерывается из-за таймаута, завершается сбоем и затем запускается вновь. Для атаки злоумышленнику достаточно лишь создать pull-запрос - обработчик запускается автоматически без какого-либо подтверждения или участия со стороны сопровождающих оригинального репозитория, которые лишь могут заменить подозрительную активность и остановить уже запущенные задания GitHub Actions.
В добавляемом атакующими обработчике ci.yml в параметре "run" присутствует обфусицированный код (eval "$(echo 'YXB0IHVwZGF0ZSAt...' | base64 -d"), который при выполнении пытается загрузить и запустить программу для майнинга. В первых вариантах атаки с разных репозиториев на GitHub и GitLab загружалась программа, названная npm.exe и собранная в форме исполняемого ELF-файла для Alpine Linux (используется в образах Docker). В более новых формах атаки загружается код типового майнера XMRig из официального репозитория проекта, который затем собирается с подстановкой адреса кошелька и серверов для отправки данных.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://therecord.media/github...)
- OpenNews: Уязвимость в GitHub Actions, допускающая подстановку команд
- OpenNews: Через уязвимость в GitHub от имени Линуса Торвальдса создан фиктивный репозиторий linux-ng
- OpenNews: GitHub устранил уязвимость, приводившую к подмене сеанса пользователя
- OpenNews: В GitHub устранена уязвимость, допускающая внедрение кода в любой репозиторий
- OpenNews: Волна взломов суперкомпьютеров для майнинга криптовалюты
Похожие новости:
- [Информационная безопасность, GitHub, IT-компании] GitHub расследует, как инфраструктуру функции Actions использовали для майнинга
- [GitHub, Управление сообществом] Monthly tech community virtual meetings for the Russian-speaking audience/Ежемесячные встречи русскоязычного сообщества
- [Информационная безопасность, Open source, GitHub, Хранение данных, Хранилища данных] В проект GitHub по хранению кода в Арктике случайно попала утечка медицинских данных
- [Open source, Программирование, GitHub, Управление разработкой] Это не работает (перевод)
- [Управление персоналом] Как эффективнее подбирать разработчиков?
- [Git] 5 команд Git, которые сделают вашу жизнь проще
- [Информационная безопасность, Node.JS, GitHub] В популярной NPM-библиотеке netmask обнаружена критическая уязвимость
- [Open source, GitHub, Законодательство в IT, Социальные сети и сообщества, Биографии гиков] Multiple violations of policies in RMS open letter
- [Python, GitHub, Flask] Делаем телеграм бота за 5 минут: быстрый старт с продвинутым шаблоном
- [Open source, GitHub, Законодательство в IT, Биографии гиков] Опубликовано открытое письмо в поддержку Столлмана
Теги для поиска: #_github
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:29
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
GitHub расследует серию атак, в ходе которых злоумышленникам удалось организовать майнинг криптовалюты в облачной инфраструктуре GitHub, используя для запуска своего кода механизм GitHub Actions. Первые попытки использования GitHub Actions для майнинга датированы ноябрём прошлого года. GitHub Actions даёт возможность разработчикам кода прикреплять обработчики для автоматизации различных операций в GitHub. Например, при помощи GitHub Actions можно выполнить определённые проверки и тесты при совершении коммитов или автоматизировать обработку новых Issues. Для запуска майнинга атакующие создают форк репозитория, в котором используется GitHub Actions, добавляют в свою копию новый GitHub Actions и отправляют в оригинальный репозиторий pull-запрос, предлагающий замену существующих обработчиков GitHub Actions на новый обработчик ".github/workflows/ci.yml". Вредоносный pull-запрос порождает многократные попытки запуска заданного атакующим обработчика GitHub Actions, который после 72 часов прерывается из-за таймаута, завершается сбоем и затем запускается вновь. Для атаки злоумышленнику достаточно лишь создать pull-запрос - обработчик запускается автоматически без какого-либо подтверждения или участия со стороны сопровождающих оригинального репозитория, которые лишь могут заменить подозрительную активность и остановить уже запущенные задания GitHub Actions. В добавляемом атакующими обработчике ci.yml в параметре "run" присутствует обфусицированный код (eval "$(echo 'YXB0IHVwZGF0ZSAt...' | base64 -d"), который при выполнении пытается загрузить и запустить программу для майнинга. В первых вариантах атаки с разных репозиториев на GitHub и GitLab загружалась программа, названная npm.exe и собранная в форме исполняемого ELF-файла для Alpine Linux (используется в образах Docker). В более новых формах атаки загружается код типового майнера XMRig из официального репозитория проекта, который затем собирается с подстановкой адреса кошелька и серверов для отправки данных. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:29
Часовой пояс: UTC + 5