Атака на GitHub Actions для майнинга криптовалюты на серверах GitHub

05.04.2021 15:08

GitHub расследует серию атак, в ходе которых злоумышленникам удалось организовать майнинг криптовалюты в облачной инфраструктуре GitHub, используя для запуска своего кода механизм GitHub Actions. Первые попытки использования GitHub Actions для майнинга датированы ноябрём прошлого года.

GitHub Actions даёт возможность разработчикам кода прикреплять обработчики для автоматизации различных операций в GitHub. Например, при помощи GitHub Actions можно выполнить определённые проверки и тесты при совершении коммитов или автоматизировать обработку новых Issues. Для запуска майнинга атакующие создают форк репозитория, в котором используется GitHub Actions, добавляют в свою копию новый GitHub Actions и отправляют в оригинальный репозиторий pull-запрос, предлагающий замену существующих обработчиков GitHub Actions на новый обработчик ".github/workflows/ci.yml".

Вредоносный pull-запрос порождает многократные попытки запуска заданного атакующим обработчика GitHub Actions, который после 72 часов прерывается из-за таймаута, завершается сбоем и затем запускается вновь. Для атаки злоумышленнику достаточно лишь создать pull-запрос - обработчик запускается автоматически без какого-либо подтверждения или участия со стороны сопровождающих оригинального репозитория, которые лишь могут заметить подозрительную активность и остановить уже запущенные задания GitHub Actions.

В добавляемом атакующими обработчике ci.yml в параметре "run" присутствует обфусицированный код (eval "$(echo 'YXB0IHVwZGF0ZSAt...' | base64 -d"), который при выполнении пытается загрузить и запустить программу для майнинга. В первых вариантах атаки из разных репозиториев на GitHub и GitLab загружалась программа, названная npm.exe и собранная в форме исполняемого ELF-файла для Alpine Linux (используется в образах Docker). В более новых формах атаки загружается код типового майнера XMRig из официального репозитория проекта, который затем собирается с подстановкой адреса кошелька и серверов для отправки данных.

исправить +22 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/54904-github

Ключевые слова: github

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (41)

1.1, Аноним (1), 15:15, 05/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	+8 +/–
> npm.exe Молодец, хорошо пошутил.

2.5, Аноним (5), 15:20, 05/04/2021 [^] [^^] [^^^] [ответить]

+/–

в статье же есть ссылка

https://twitter.com/JustinPerdok/status/1377970934955573251

т.е. развертывание в windows было и в ней и запускался майнер

3.23, Аноним Анонимович Анонимов (?), 21:09, 05/04/2021 [^] [^^] [^^^] [ответить]	+4 +/–
Ох и фамилия у автора твитта. Вспоминается нетленная интермедия Рассала Питерса по поводу русских сантехников.

1.2, Аноним (5), 15:16, 05/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Ну это как раз возможность проверить, насколько хорошо масштабируется инфраструктура Microsoft, при увеличении нагрузки на процессор. Результаты показали, что не очень хорошо? Какие выводы?

2.25, пох. (?), 00:12, 06/04/2021 [^] [^^] [^^^] [ответить]

+5 +/–

> Результаты показали, что не очень хорошо?

да вроде, норм - с ноября прошлого года даже не замечали.

> Какие выводы?

опять какая-то сволочь пришла к успеху, но не ты.

1.3, YetAnotherOnanym (ok), 15:17, 05/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	+10 +/–
> обработчик запускается автоматически без какого-либо подтверждения или участия со стороны сопровождающих оригинального репозитория Зато как удобно, когда всё само за тебя делается!

2.7, пох. (?), 15:29, 05/04/2021 [^] [^^] [^^^] [ответить]

+1 +/–

Да, но они и есть за тебя тоже будут.

Жадные твари. Нет бы 3% как принято хозяину репо откидывать - он бы, может, еще лет пять бы "не замечал".

3.18, YetAnotherOnanym (ok), 15:59, 05/04/2021 [^] [^^] [^^^] [ответить]	+/–
> Да, но они и есть за тебя тоже будут. Да они бы и деньги с моей карточки за меня снимали бы. Герман Оскарович как раз в эту сторону своих хомячков гонит, даже банкоматы снимает, чтобы все всё через смартфончики делали.

1.4, InuYasha (??), 15:19, 05/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Для полной эстетической завершённости надо было майнить Столлманкоины (^_^)

2.14, Аноним (14), 15:51, 05/04/2021 [^] [^^] [^^^] [ответить]	+/–
Какой курс был бы по вашему мнению? D

2.21, Aninim (?), 17:48, 05/04/2021 [^] [^^] [^^^] [ответить]	–5 +/–
С хая ли я буду поддерживать какого то чувака живущего за границей где итак в плане денег нормально , лучше открыть griggoriicoin и поджигать пердаки чем обсасывать эту батву на каждый чих

2.22, Dzen Python (ok), 19:42, 05/04/2021 [^] [^^] [^^^] [ответить]	+/–
Тогда уж маскулинокоины, фитнесскомны, ккккоины и шовенокоины. Столлманкоин триггернул бы недостаточно аудиторию жирных чудовищ, угашенных цветноволосых и этических куколдистов. Хм... "Каждая монета - гвоздь в крышку гроба феминистки!" "Майни с нами - худей с нами! Ты лучше этой потной жирухи и вонючего жиробаса!" "Ку-клуккс-коин!" "ХХХ лучше чем YYY! Только ХХХ достойны пользоваться шовекоином, а для всех остальных - старобаксы!"

3.32, freehck (ok), 07:35, 06/04/2021 [^] [^^] [^^^] [ответить]	+3 +/–
Stallman всегда триггерит феминисток. У него же man в имени.

3.44, Аноним (44), 13:16, 08/04/2021 [^] [^^] [^^^] [ответить]	+/–
> "Майни с нами - худей с нами! Ты лучше этой потной жирухи и вонючего жиробаса!" Сагрится столлман

2.43, Сейд (ok), 01:14, 08/04/2021 [^] [^^] [^^^] [ответить]	+/–
GNU Taler

1.6, Аноним (6), 15:28, 05/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
а что такое issues?

2.11, Аноним (11), 15:38, 05/04/2021 [^] [^^] [^^^] [ответить]	+3 +/–
Жалобы, замечания, предложения

1.9, Аноним (9), 15:34, 05/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
А что ожидать было если GitHub теперь собственность Microsoft

2.19, Аноним (-), 17:31, 05/04/2021 [^] [^^] [^^^] [ответить]	+1 +/–
srvchost.exe

3.37, слакварявод (ok), 08:49, 06/04/2021 [^] [^^] [^^^] [ответить]	+2 +/–
svchost.exe

1.12, Аноним (-), 15:47, 05/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Случайная польза от мелкософта ..

1.13, Игорян (?), 15:48, 05/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
А что такое - севера GitHub? Это какой-то американский гулаг?

2.16, аналним (?), 15:56, 05/04/2021 [^] [^^] [^^^] [ответить]	+/–
ор

3.20, Аноним (-), 17:31, 05/04/2021 [^] [^^] [^^^] [ответить]	+/–
шко

2.29, Аноним (29), 05:06, 06/04/2021 [^] [^^] [^^^] [ответить]	–1 +/–
Github Arctic Code Vault наверное

1.17, Rev (?), 15:57, 05/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Вот этот юзер атаковал таким образом мой репозиторий вчера: https://github.com/beefybill1

1.24, Аноним (24), 21:19, 05/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
>> который затем собирается с подстановкой адреса кошелька и серверов для отправки данных. Подскажите, для того чтобы майнить не надо прописывать туда какие-то приватные ключи? А то может можно взять эти ключи да забрать у майнера добытое и пустить на развитие проекта куда он пулл реквест сделал.

2.30, Аноним (29), 05:12, 06/04/2021 [^] [^^] [^^^] [ответить]	+/–
Чтобы перевести кому-то крипту тебе не нужно спрашивать его разрешения (по крайней мере в битке так). Ты можешь прямо на майнинг машине в начале сессии создать новый приватный ключ, майнить коины на нём и тут-же переводить коины в другой кошелёк. Генерация нового кошелька (пары ключей по сути), по сравнению со всем остальным процессом вообще не занимает времени, так что толку от данных внутри майнера ноль (интерес представляет только кошелёк, куда уплыли деньги).

2.33, freehck (ok), 07:38, 06/04/2021 [^] [^^] [^^^] [ответить]	+/–
>>> который затем собирается с подстановкой адреса кошелька и серверов для отправки данных. > Подскажите, для того чтобы майнить не надо прописывать туда какие-то приватные ключи? > А то может можно взять эти ключи да забрать у майнера > добытое и пустить на развитие проекта куда он пулл реквест сделал. Нет, так это не работает.

1.26, Fedd (ok), 01:03, 06/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Это прям вандализм, как лампочки в подъезде выкручивать

2.28, Аноним (28), 02:54, 06/04/2021 [^] [^^] [^^^] [ответить]	+/–
Это как рекламными газетами топить печку.

3.38, Аноним (-), 00:51, 07/04/2021 [^] [^^] [^^^] [ответить]	+/–
А что не так ?

2.42, Аноним (42), 13:04, 07/04/2021 [^] [^^] [^^^] [ответить]	+/–
ну формально он запускает код открытого пректа. Где какие нарушения?

1.27, Аноним (28), 02:53, 06/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Молодцы. В идеале продолжить нагибать, чтобы выключили функциональность для бесплатных клиентов.

1.31, freehck (ok), 07:24, 06/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Эм... Мы пиарим гитхаб, что ли? Как бы, ну да, есть такая проблема с майнерами. И уже давно. Все от неё страдают: и гитхаб, и гитлаб, и кодфреш, и сёркл... Почему гитхабу внезапно отдельная новость? )

2.34, пох. (?), 07:51, 06/04/2021 [^] [^^] [^^^] [ответить]	+/–
Ась? В гитляпе тоже такие же удобные милые "actions" и такие же прекрасные репо, как у автора (там и штатных под сотню, с названиями типа "mess" - как он сам-то их различает, загадка)? Куды тыкать? Щас помайним.

3.35, freehck (ok), 07:55, 06/04/2021 [^] [^^] [^^^] [ответить]	+/–
Ну там применяются все те же майнеры с такими же защитами, но только на бесплатно предоставляемых раннерах CI/CD. Все ж так или иначе их предоставляют, чтобы дать триальщикам попробовать свой супер-сервис. Имей в виду, аккаунтов надо много: блочить тебя будут регулярно.

1.36, freehck (ok), 08:21, 06/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Вообще, майнер молодец. Обычно они просто бинарники выкачивают. Ну максимум через прокси работают. А этот даже бинари пересобирает и переименовывает, чтобы выдать себя за кого-то ещё. Раз он не дурак, то наверняка и через ряд проксей идёт, и соединение шифрует, чтобы мы по протоколу его не запалили... И значит это только по хэш-суммам можно отследить. А додумается нули в конец файла добавлять -- так вообще невозможно будет отследить никак. И никакой Falco не поможет, останется только анализ профиля нагрузки и таймингов. В общем, хакерочек хорош, хорош. =)

2.39, Аноним (-), 00:53, 07/04/2021 [^] [^^] [^^^] [ответить]	+/–
У меня племянник так майнит лет с 6ти, только сейчас ой заметили лол

3.40, Аноним (-), 04:07, 07/04/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Хакер подрастает. В лучшем смысле слова.

3.41, freehck (ok), 10:06, 07/04/2021 [^] [^^] [^^^] [ответить]

+/–

> У меня племянник так майнит лет с 6ти, только сейчас ой заметили
> лол

Ну как бы, заметить это трудно. Провайдеры CI/CD как правило имеют сотни и тысячи пайплайнов в своей инфраструктуре одновременно. Если там где-то майнер затесался -- это как бы и не проблема.

Проблемой оно становится, если, ну например, на триальном кластере, предоставляемом бесплатникам, кто-то очень жадный запустил столько пайплайнов, что автоскейлер кластера упёрся в потолок. Тогда кто-нибудь придёт, посмотрит, глубоко вздохнёт, вычистит всех майнеров оттуда и заблочит их аккаунты. Ну и эта проблема будет наконец поднята на следующей планёрке.

По результатам планёрки будет решено бороться не с майнерами в целом, а конкретно с данным паттерном их поведения, поскольку мы ж не можем триальный кластер ограничить по ресурсам. На то он и триальный, чтобы показывать потенциальным покупателям, насколько наш сервис CI/CD привлекателен.

Ну то бишь майнинг как бы не возбраняется, но просто жадность-то поумерьте. Запустили пяток -- ну и крутите. Не надо запускать их сотнями. За вашу халяву ведь всё равно кто-то платит, и хоть вы и используете предоставленный сервис в соответствии с условиями, но не забывайте об этом.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: