GitHub Actions to usługa CI/CD, z której może skorzystać każdy posiadacz repozytorium na tej witrynie. Automatyzuje procesy integracji, testowania i wdrażania poprzez wykonywanie odpowiedniego kodu na serwerach GitHuba.
Okazuje się, że tę pulę mocy obliczeniowej można z łatwością wykorzystywać do kopania kryptowalut. Na jakiej zasadzie to działa? Otóż cała procedura jest banalnie prosta:
- Forkowane (inaczej rozgałęziane, kopiowane) jest repozytorium kodu, w którym włączona jest usługa Github Actions.
- W takim forku dodawany jest kod, który przy uruchomieniu zaczyna kopać kryptowalutę.
- Zmiana kodu jest proponowana do zaimplementowania w oryginalnym kodzie (pull requestem).
- Propozycja zmiany jest testowana przez Actions, w wyniku czego rozpoczyna się odpalanie koparki. Dzieje się to bez zgody i wiedzy właściciela repozytorium - zmiana złośliwa jest testowana tak samo, jak każda inna.
Bezpośrednio za kopanie krypto odpowiada dorzucany przez przestępców plik "npm.exe", którego nazwa może przypominać menedżer paczek Node.JS. Nic bardziej mylnego!
GitHub podobno wie o problemie i postara się go rozwiązać. Ale to już nie pierwsze wykorzystanie infrastruktury GitHuba do niecnych celów. Podobna akcja była już wcześniej, a jeszcze innym razem malware działało w tandemie z Pastebinem.
Źródło: BleepingComputer