Automated Libra通过CAPTCHA绕过自动创建GitHub账号,进行加密货币挖矿( 二 )


使用GitHub API创建GitHub库;
配置创建的库的权限 。
此外,攻击者还使用基于MD5哈希值的随机名来对库进行命名 。
图 9. 对库进行随机命名的命令
GitHub库创建完成后,攻击者调用一个bash脚本来用目标工作流来更新库 。工作流是用PHP脚本生成的, PHP模板编码的工作流示例如图10所示:

Automated Libra通过CAPTCHA绕过自动创建GitHub账号,进行加密货币挖矿

文章插图
图 10. PHP模板
研究人员发现其中的一个工作流中有64个任务 。生成的工作流配置为github.event.client_payload.App事件下的repository_dispatch运行 。工作流机制允许攻击者执行外部应用 。在本例,攻击者运行外部bash脚本和容器,如图11所示:
Automated Libra通过CAPTCHA绕过自动创建GitHub账号,进行加密货币挖矿

文章插图
图 11. 执行外部应用的工作流机制
工作流运行的bash脚本是从外部域名访问的 。攻击者运行的容器是用来安装和初始化加密货币挖矿功能的,如图12所示:
Automated Libra通过CAPTCHA绕过自动创建GitHub账号,进行加密货币挖矿

文章插图
图 12. 加密货币挖矿容器
生成的工作流运行64个任务,每个任务都从5个可用的唯一配置中随机选择一个 。
经过确认的攻击者创建的GitHub账户数如下图所示 。
Automated Libra通过CAPTCHA绕过自动创建GitHub账号,进行加密货币挖矿

文章插图
图 13. PurpleUrchin攻击者创建的GitHub账户数
此外,攻击者还在Heroku、Togglebox、GitHub等不同云平台服务商创建了超过13万用户账户 。
参考及来源:https://unit42.paloalt.NETworks.com/purpleurchin-steals-cloud-resources/




推荐阅读