Голландский ИБ-специалист Джастин Пердок (Justin Perdok) обнаружил, что по меньшей мере один хакер злоупотребляет CI/CD функцией GitHub Actions, чтобы заставить серверы компании добывать криптовалюту. Похоже, такие атаки никак не вредят проектам пользователей, зато создают огромную нагрузку на инфраструктуру GitHub.
One of my repo's just got hit with a similar attack. Account in question has a bunch of other open PR's that currently have miners running. https://t.co/PZxApykuO9 pic.twitter.com/zugl7mFK0K
— Justin Perdok (@JustinPerdok) April 2, 2021
Интересно, что Пердок был не первым, кто заметил такие атаки, он лишь привлек внимание к проблеме: первым их обнаружил французский исследователь, известный как Tib, который писал, что атаки начались еще в ноябре 2020 года и продолжаются до сих пор.
Пердок рассказывает, что всё строится на создании форка легитимного репозитория, добавлении вредоносных GitHub Actions к исходному коду, а затем отправке Pull Request для слияния кода обратно с оригиналом.
При этом хакер не полагается на удачу, то есть владелец исходного проекта вовсе не должен утвердить этот вредоносный Pull Request. Пердок говорит, что для атаки достаточно и самого факта отправки Pull Request. Так, по информации специалиста, злоумышленники специально выбирают мишенями владельцев репозиториев, которые используют автоматизацию рабочих процессов, то есть проверяют входящие Pull Request с помощью автоматизированных заданий.
В итоге, после отправки вредоносного запроса системы GitHub обрабатывают код злоумышленника и запускают виртуальную машину, которая загружает и запускает софт для майнинга криптовалюты в инфраструктуре GitHub. Эксперты Bleeping Computer рассказывают, что майнер маскируется под npm.exe и связывается с пулом turtlecoin.herominers.com.
Пердок пишет, что и сам стал жертвой злоумышленников и наблюдал, как те использовали до 100 майнеров в рамках всего одной атаки.
Эксперт полагает, что хакеры действуют случайным образом и с большим размахом. Так, он идентифицировал по крайней мере одну учетную запись, создающую сотни Pull Request с вредоносным кодом.
Представители GitHub уже сообщили СМИ, что им известно о происходящем, и они активно расследуют эти майнинговые злоупотребления. Впрочем, такой же ответ в компании дали и французскому инженеру в прошлом году.
Судя по всему, пока компания борется с хакером, блокируя его учтенные записи, однако злоумышленник просто регистрирует новые, как только старые обнаруживают и банят.
Хуже того, Bleeping Computer сообщает, что после публикации данных об этих атаках в сети появились подражатели, злоупотребляющие такими же методами и использующие инфраструктуру GitHub для майнинга. К примеру, один из подражателей отправил более 50 вредоносных запросов легитимными репозиториями. По данным издания, подражатели используют опенсорсный майнер XMRig и не стесняются загружать его прямо из официального репозитория на GitHub.
