Лос администратори на платформата за хостинг на кодове GitHub активно разследват поредица от атаки срещу тяхната облачна инфраструктура, тъй като този тип атака позволи на хакерите да използват сървърите на компанията за извършване на незаконни минни операции на криптовалутите.
И това е, че през третото тримесечие на 2020 г. те атаките се основават на използването на функция на GitHub, наречена GitHub Actions което позволява на потребителите да стартират задачи автоматично след определено събитие от техните хранилища на GitHub.
За да постигнете този експлойт, хакерите поеха контрола над легитимно хранилище, като инсталираха злонамерен код в оригиналния код на GitHub Actions и след това направете заявка за изтегляне срещу оригиналното хранилище, за да обедините модифицирания код с легитимния код.
Като част от атаката срещу GitHub, изследователи по сигурността съобщиха, че хакерите могат да пуснат до 100 майнери на криптовалута в една атака, създавайки огромни изчислителни натоварвания на инфраструктурата на GitHub. Засега тези хакери изглежда работят на случаен принцип и в голям мащаб.
Изследванията разкриха, че поне един акаунт изпълнява стотици заявки за актуализация, които съдържат злонамерен код. В момента атакуващите изглежда не са насочени активно към потребителите на GitHub, а се фокусират върху използването на облачната инфраструктура на GitHub за хостване на криптовалутна дейност.
Холандският инженер по сигурността Джъстин Пердок каза пред The Record, че поне един хакер е насочен към хранилища на GitHub, където могат да бъдат активирани действията на GitHub.
Атаката включва раздвояване на легитимно хранилище, добавяне на злонамерени GitHub действия към оригиналния код и след това подаване на заявка за изтегляне с оригиналното хранилище за сливане на кода с оригинала.
Първият случай на тази атака е докладван от софтуерен инженер във Франция през ноември 2020 г. Подобно на реакцията си към първия инцидент, GitHub заяви, че активно разследва скорошната атака. Изглежда обаче, че GitHub идва и си отива в атаките, тъй като хакерите просто създават нови акаунти, след като заразените акаунти бъдат открити и деактивирани от компанията.
През ноември миналата година екип от експерти по ИТ сигурност на Google, натоварени с намирането на 0-дневни уязвимости, разкриха недостатък на сигурността в платформата GitHub. Според Феликс Вилхелм, член на екипа на Project Zero, който го е открил, недостатъкът е повлиял и на функционалността на GitHub Actions, инструмент за автоматизиране на работата на разработчиците. Това е така, защото командите за работен поток на Action са "уязвими за инжекционни атаки":
Github Actions поддържа функция, наречена команди за работен поток като канал за комуникация между брокера на действие и действието, което се извършва. Командите на работния поток се изпълняват в runner / src / Runner.Worker / ActionCommandManager.cs и работят чрез анализиране на STDOUT на всички действия, извършени за един от двата маркера на командите.
GitHub Actions се предлага в акаунти GitHub Free, GitHub Pro, GitHub Free за организации, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One и GitHub AE. GitHub Actions не е налице за частни хранилища, собственост на акаунти, използващи по-стари планове.
Дейността по добив на криптовалута обикновено е скрита или се изпълнява във фонов режим без съгласието на администратор или потребител. Има два вида злонамерен крипто копаене:
- Двоичен режим: те са злонамерени приложения, изтеглени и инсталирани на целевото устройство с цел добив на криптовалути. Някои решения за сигурност идентифицират повечето от тези приложения като троянски коне.
- Режим на браузър - Това е злонамерен JavaScript код, вграден в уеб страница (или някои от нейните компоненти или обекти), предназначен за извличане на криптовалута от браузърите на посетителите на сайта. Този метод, наречен cryptojacking, е все по-популярен сред киберпрестъпниците от средата на 2017 г. Някои решения за сигурност откриват повечето от тези cryptojacking скриптове като потенциално нежелани приложения.