По информации Record, веб-сервис для хостинга IT-проектов и их совместной разработки GitHub проводит расследование инцидента, связанного со злоупотреблениями при использовании инфраструктуры GitHub Actions. Неопределенный круг лиц до сих пор использует сервера GitHub для криптомайнинга.

Функция GitHub Actions создана для автоматизации выполнения пользователями программных рабочих процессов, когда в их репозитории на GitHub происходят определенные события, например, автоматическая обработка Pull Request.

Эксперт по информационной безопасности Джастин Пердок (Justin Perdok) показал в Twitter, что с осени прошлого года злоумышленники успешно майнят криптовалюту в инфраструктуре GitHub при использовании различными пользователями GitHub Actions.


С помощью Pull Request в определенный репозиторий третьи лица получают доступ к новой виртуальной машине на сервере GitHub. Потом злоумышленники разворачивают в этой среде вредоносный код с криптомайнером. Причем в ходе одной атаки могут запускаться около сотни майнеров в инфраструктуре GitHub.

Представитель GitHub рассказал Record, что сервис пытается бороться с этой внутренней проблемой, а данным пользователей и их репозиториям в ходе этого инцидента ничего не угрожает. Пока что компания блокирует учетные записи злоумышленников, но они создают новые аккаунты и продолжают нагружать своими действиями инфраструктуру GitHub.


Пример майнера, который используется в этой атаке и скачивается с сервиса GitLab.