情況介紹

網(wǎng)絡(luò)安全研究人員的發(fā)現(xiàn)，GitHub Actions目前正被攻擊者濫用，黑客正在通過一種自動(dòng)化的攻擊方式在GitHub的服務(wù)器上進(jìn)行加密貨幣挖礦活動(dòng)。

GitHub Actions是一個(gè)CI/CD解決方案，它可以輕松地設(shè)置周期性任務(wù)以自動(dòng)化軟件工作流。

這里所描述的特定攻擊，指的是將惡意GitHub Actions代碼添加到那些從合法存儲(chǔ)庫派生的存儲(chǔ)庫中，并進(jìn)一步創(chuàng)建一個(gè)Pull請(qǐng)求，以便原始存儲(chǔ)庫維護(hù)人員將代碼合并回來。

但是，這種攻擊活動(dòng)并不需要合法項(xiàng)目的維護(hù)人員進(jìn)行任何的操作，攻擊同樣可以成功。

研究人員還發(fā)現(xiàn)，惡意代碼會(huì)從GitLab加載一個(gè)錯(cuò)誤命名的加密貨幣挖礦軟件npm.exe，然后使用攻擊者的加密貨幣錢包地址來執(zhí)行挖礦活動(dòng)。

在報(bào)告了相關(guān)事件之后，研究人員還發(fā)現(xiàn)了很多以同樣形式模仿進(jìn)行的針對(duì)GitHub項(xiàng)目的攻擊活動(dòng)。

Fork合法代碼，添加惡意代碼，然后將代碼合并回來

就在這周，據(jù)一位名叫Justin Perdok的荷蘭安全工程師稱，攻擊者已經(jīng)選定好了使用GitHub Actions進(jìn)行挖礦的GitHub項(xiàng)目庫了。

這些代碼庫會(huì)使用GitHub Actions來優(yōu)化和實(shí)現(xiàn)CI/CD自動(dòng)化和調(diào)度任務(wù)。

這種特殊的攻擊利用的是GitHub自己的基礎(chǔ)設(shè)施，并在GitHub的服務(wù)器上傳播惡意軟件和加密貨幣挖礦軟件。這種攻擊方式還會(huì)涉及攻擊者Fork的啟用了GitHub Actions的合法代碼庫。然后，攻擊者會(huì)在Fork的代碼庫版本中注入惡意代碼，并向原始代碼庫的維護(hù)人員提交一個(gè)Pull請(qǐng)求以將代碼合并回來。

根據(jù)Perdok分享的一個(gè)屏幕截圖顯示，目前至少有95個(gè)代碼庫將成為攻擊者的目標(biāo)：

但令人意外的是，整個(gè)攻擊過程并不需要原始項(xiàng)目的維護(hù)人員去批準(zhǔn)攻擊者發(fā)起的惡意Pull請(qǐng)求。

Perdok表示，攻擊者只需要提交Pull請(qǐng)求就足以觸發(fā)攻擊了。

對(duì)于GitHub項(xiàng)目來說尤其如此，這些項(xiàng)目具有自動(dòng)化的工作流設(shè)置，可以通過GitHub Actions驗(yàn)證傳入的Pull請(qǐng)求。

一旦為原始項(xiàng)目創(chuàng)建了Pull請(qǐng)求，GitHub的系統(tǒng)就會(huì)執(zhí)行攻擊者的代碼，而惡意代碼將指示GitHub服務(wù)器檢索并運(yùn)行加密貨幣挖掘程序。

從GitLab下載的加密貨幣挖礦軟件npm.exe

惡意Pull請(qǐng)求會(huì)調(diào)用自動(dòng)化代碼并指示GiHub服務(wù)器下載一個(gè)托管在GitLab上的加密貨幣挖掘程序，而這個(gè)文件就是被錯(cuò)誤標(biāo)記的npm.exe。

但是這個(gè)npm.exe文件與官方NodeJS安裝程序或節(jié)點(diǎn)包管理器(npm)無關(guān)，因?yàn)樗且粋€(gè)著名的加密貨幣挖掘程序。

根據(jù)研究人員的分析，攻擊者啟動(dòng)npm.exe文件之后，會(huì)將他們的錢包地址以參數(shù)的形式傳遞進(jìn)去：

npm.exe --algorithm argon2id_chukwa2 
 
--pool turtlecoin.herominers.com:10380 
 
--wallet TRTLv3ZvhUDDzXp9RGSVKXcMvrPyV5yCpHxkDN2JRErv43xyNe5bHBaFHUogYVc58H1Td7vodta2fa43Au59Bp9qMNVrfaNwjWP 
 
--password xo 

在研究人員運(yùn)行的測(cè)試中，加密貨幣挖掘程序會(huì)連接到turtlecoin.herominers.com礦池并開始加密貨幣挖礦：

還有使用XMRig的模仿攻擊活動(dòng)

在發(fā)布了相關(guān)研究報(bào)告之后，研究人員又發(fā)現(xiàn)了大量模仿此形式的攻擊活動(dòng)。在這些攻擊活動(dòng)中，攻擊者同樣會(huì)使用惡意Pull請(qǐng)求并利用GitHub Actions完成加密貨幣挖礦攻擊。

研究人員還發(fā)現(xiàn)，有的攻擊活動(dòng)還會(huì)從XMRig的官方GitHub代碼庫中引入了開源XMRig 加密貨幣挖礦程序。

模仿攻擊中發(fā)現(xiàn)的錢包地址如下：

49eqpX3Sn2d5cfJTevgZLGZGQmcdE37QE4TMJDmDcJeCG8DUgkbS5znSsU35Pk2HC1Lt99EnSiP9g74XpUHzTgxw23n5CkB 

下面給出的是攻擊者的ci.yml文件中定義的礦池服務(wù)器列表：

后話

GitHub方面也表示，他們已經(jīng)了解到了事件的詳情，并且正在著手調(diào)查和解決這一問題。

利用GitHub基礎(chǔ)設(shè)施的攻擊已經(jīng)不是第一次出現(xiàn)了，而且利用GitHub Actions的攻擊活動(dòng)也日趨頻繁。

就在去年，研究人員專門報(bào)告稱有攻擊者利用GitHub的基礎(chǔ)設(shè)施來托管蠕蟲僵尸網(wǎng)絡(luò)Gitpaste-12。但是，跟Gitpaste-12或Octopus Scanner惡意軟件(針對(duì)的是存在漏洞的項(xiàng)目或設(shè)備)不同的是，這種特定的攻擊似乎只會(huì)利用GitHub的服務(wù)器進(jìn)行加密貨幣挖礦任務(wù)。