استخدم المتسللون خوادم GitHub لتعدين العملات المشفرة

Darkcrizt

4 دقيقة

شعار GitHub

الكثير مديري منصة استضافة الكود GitHub ، تحقق بنشاط في سلسلة من الهجمات على البنية التحتية السحابية الخاصة بهمنظرًا لأن هذا النوع من الهجوم سمح للقراصنة باستخدام خوادم الشركة لتنفيذ عمليات تعدين غير مشروعة من العملات المشفرة. 

وهذا خلال الربع الثالث من عام 2020 ، هؤلاء استندت الهجمات إلى استخدام ميزة GitHub تسمى إجراءات GitHub الذي يسمح للمستخدمين ببدء المهام تلقائيًا بعد حدث معين من مستودعات GitHub الخاصة بهم.

لتحقيق هذا الاستغلال ، سيطر المتسللون على مستودع شرعي عن طريق تثبيت تعليمات برمجية ضارة في الكود الأصلي على GitHub Actions ثم قم بتقديم طلب سحب ضد المستودع الأصلي لدمج الكود المعدل مع الكود الشرعي.

كجزء من الهجوم على جيثب ، أفاد باحثو الأمن أن المتسللين يمكنهم تشغيل ما يصل إلى 100 من عمال المناجم المشفرة في هجوم واحد، مما يؤدي إلى إنشاء أحمال حسابية ضخمة على بنية GitHub الأساسية. حتى الآن ، يبدو أن هؤلاء القراصنة يعملون بشكل عشوائي وعلى نطاق واسع.

كشفت الأبحاث أن حسابًا واحدًا على الأقل ينفذ مئات طلبات التحديث التي تحتوي على تعليمات برمجية ضارة. في الوقت الحالي ، لا يبدو أن المهاجمين يستهدفون بنشاط مستخدمي GitHub ، بل يركزون بدلاً من ذلك على استخدام البنية التحتية السحابية لـ GitHub لاستضافة نشاط تعدين التشفير.

أخبر مهندس الأمن الهولندي جاستن بيردوك The Record أن مخترقًا واحدًا على الأقل يستهدف مستودعات GitHub حيث يمكن تمكين إجراءات GitHub.

يتضمن الهجوم إنشاء مستودع شرعي ، وإضافة إجراءات GitHub الضارة إلى الكود الأصلي ، ثم إرسال طلب سحب مع المستودع الأصلي لدمج الرمز مع الأصل.

تم الإبلاغ عن الحالة الأولى لهذا الهجوم من قبل مهندس برمجيات في فرنسا في نوفمبر 2020. مثل رد فعلها على الحادث الأول ، صرحت GitHub أنها تحقق بنشاط في الهجوم الأخير. ومع ذلك ، يبدو أن GitHub يأتي ويذهب في الهجمات ، حيث يقوم المتسللون ببساطة بإنشاء حسابات جديدة بمجرد اكتشاف الحسابات المصابة وتعطيلها من قبل الشركة.

في تشرين الثاني (نوفمبر) من العام الماضي ، كشف فريق من خبراء أمن تكنولوجيا المعلومات من Google المكلف بإيجاد ثغرات أمنية لمدة يوم عن وجود خلل أمني في النظام الأساسي GitHub. وفقًا لفيليكس فيلهلم ، عضو فريق Project Zero الذي اكتشفه ، أثر الخلل أيضًا على وظائف GitHub Actions ، وهي أداة لأتمتة عمل المطورين. هذا لأن أوامر سير العمل "عرضة لهجمات الحقن":

يدعم Github Actions ميزة تسمى أوامر سير العمل كقناة اتصال بين وسيط الإجراء والإجراء الذي يتم تنفيذه. يتم تنفيذ أوامر سير العمل في runner / src / Runner.Worker / ActionCommandManager.cs والعمل عن طريق تحليل STDOUT لجميع الإجراءات المنفذة لأحد علامتي الأمر.

تتوفر إجراءات GitHub على حسابات GitHub Free و GitHub Pro و GitHub مجانًا للمؤسسات و GitHub Team و GitHub Enterprise Cloud و GitHub Enterprise Server و GitHub One و GitHub AE. إجراءات GitHub غير متاحة للمستودعات الخاصة المملوكة للحسابات التي تستخدم خططًا قديمة.

عادة ما يتم إخفاء نشاط تعدين العملات المشفرة أو تشغيله في الخلفية دون موافقة المسؤول أو المستخدم. هناك نوعان من التعدين الضار للتشفير:

  • الوضع الثنائي: هي تطبيقات ضارة يتم تنزيلها وتثبيتها على الجهاز المستهدف بهدف تعدين العملات المشفرة. تحدد بعض حلول الأمان معظم هذه التطبيقات على أنها أحصنة طروادة.
  • وضع المستعرض - هذا رمز JavaScript ضار مضمن في صفحة ويب (أو بعض مكوناته أو كائناته) ، مصمم لتعدين العملات المشفرة من متصفحات زوار الموقع. هذه الطريقة التي تسمى cryptojacking أصبحت شائعة بشكل متزايد بين مجرمي الإنترنت منذ منتصف عام 2017. تكتشف بعض حلول الأمان معظم نصوص التشفير المشفرة على أنها تطبيقات غير مرغوب فيها.

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.