u administratori platforma za hosting koda GitHub aktivno istražuju seriju napada na njihovu oblačnu infrastrukturu, budući da je ova vrsta napada omogućila hakerima da koriste servere kompanije za obavljanje ilegalnih rudarskih operacija kriptovaluta.
I to je da su tokom trećeg kvartala 2020. ove napadi su se temeljili na korištenju GitHub funkcije koja se naziva GitHub Actions što omogućava korisnicima da automatski pokreću zadatke nakon određenog događaja iz svojih GitHub spremišta.
Da bi postigli ovo iskorištavanje, hakeri su preuzeli kontrolu nad legitimnim spremištem instaliranjem zlonamjernog koda u originalni kod na GitHub Actions a zatim uputite zahtjev za povlačenjem prema originalnom spremištu za spajanje modificiranog koda s legitimnim kodom.
Kao dio napada na GitHub, sigurnosni istraživači izvijestili su da bi hakeri mogli pokrenuti do 100 rudara kripto valuta u jednom napadu, stvarajući ogromna računska opterećenja na GitHub infrastrukturi. Do sada izgleda da ovi hakeri djeluju nasumično i u velikom obimu.
Istraživanje je otkrilo da barem jedan račun izvršava stotine zahtjeva za ažuriranje koji sadrže zlonamjeran kôd. Trenutno se čini da napadači aktivno ne ciljaju korisnike GitHub-a, već se fokusiraju na upotrebu GitHub-ove oblačne infrastrukture za hostovanje aktivnosti kriptokopavanja.
Holandski inženjer sigurnosti Justin Perdok rekao je za The Record da barem jedan haker cilja GitHub spremišta gdje bi GitHub akcije mogle biti omogućene.
Napad uključuje račvanje legitimnog spremišta, dodavanje zlonamjernih GitHub radnji izvornom kodu, a zatim podnošenje zahtjeva za povlačenjem s originalnim spremištem za spajanje koda s originalnim.
Prvi slučaj ovog napada prijavio je softverski inženjer u Francuskoj u novembru 2020. Kao i reakcija na prvi incident, GitHub je izjavio da aktivno istražuje nedavni napad. Međutim, čini se da GitHub dolazi i odlazi u napadima, jer hakeri jednostavno kreiraju nove račune kada kompanija otkrije i onemogući zaražene račune.
U novembru prošle godine, tim Googleovih stručnjaka za IT sigurnost čiji je zadatak bio pronaći dvodnevne ranjivosti otkrio je sigurnosnu manu na GitHub platformi. Prema Felixu Wilhelmu, članu Project Zero tima koji ga je otkrio, nedostatak je utjecao i na funkcionalnost GitHub Actions, alata za automatizaciju rada programera. To je zato što su naredbe tijeka radnje „Action“ ranjive na napade ubrizgavanjem:
Github akcije podržava funkciju koja se naziva naredbe toka posla kao komunikacijski kanal između posrednika akcije i akcije koja se provodi. Naredbe toka posla implementirane su u runner / src / Runner.Worker / ActionCommandManager.cs i rade raščlanjivanjem STDOUT svih radnji izvedenih za jedan od dva markera naredbi.
GitHub akcije dostupne su na računima GitHub Free, GitHub Pro, GitHub Free za organizacije, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One i GitHub AE. GitHub akcije nisu dostupne za privatna spremišta u vlasništvu računa koji koriste starije planove.
Aktivnost rudarenja kriptovaluta obično je skrivena ili se pokreće u pozadini bez pristanka administratora ili korisnika. Postoje dvije vrste malicioznog kriptokopavanja:
- Binarni način: oni su zlonamjerne aplikacije preuzete i instalirane na ciljnom uređaju s ciljem rudarstva kriptovaluta. Neka sigurnosna rješenja identificiraju većinu ovih aplikacija kao trojanske programe.
- Način pregledača - Ovo je zlonamjeran JavaScript kôd ugrađen u web stranicu (ili neke od njegovih komponenti ili objekata), dizajniran za izdvajanje kripto valute iz pregledača posjetitelja web stranice. Ova metoda koja se naziva kriptodokret sve je popularnija među cyber kriminalcima od sredine 2017. Neka sigurnosna rješenja otkrivaju većinu ovih skripti za kriptodokret kao potencijalno neželjene aplikacije.