ソフトウェアワークフローを自動化してくれる「GitHub Actions」を悪用する形で、GitHubのサーバーが暗号資産(仮想通貨)マイニングに利用されていることが判明しました。

GitHub Actions being actively abused to mine cryptocurrency on GitHub servers
https://www.bleepingcomputer.com/news/security/github-actions-being-actively-abused-to-mine-cryptocurrency-on-github-servers/

ニュースサイト・Bleeping Computerの報告によると、攻撃はまず、GitHub Actionsを有効にしている正当なリポジトリをフォークするところから始まり、フォークされたバージョンに悪意のあるコードを挿入。そして、元のリポジトリのメンテナーに、コードをマージして戻すためのプルリクエストを提出する、という形で行われます。

実際に攻撃を受けたリポジトリのスクリーンショットはこんな感じ。

この攻撃を報告したJustin Perdok氏によると、攻撃のトリガーは「プルリクエストの提出」であって、プルリクエストが承認される必要はないとのこと。

Bleeping Computerによれば、悪意のあるプルリクエストはGitLabにホストされている「npm.exe」をダウンロードするようにGitHubのサーバーに要求。この「npm.exe」はNode.jsのインストーラーやNode Package Managerとは無関係なマイニングプログラムで、攻撃者の提供した引数とウォレットアドレスを介して、マイニングを実行するとのことです。

なお、過去にもGitHub Actionsを介してGitHubのインフラを悪用する攻撃はあり、ボットネットがホストされたこともありましたが、今回の攻撃はあくまでサーバーをマイニングのために使っているだけであるとみられています。