Els administradors de la plataforma d'allotjament de codi GitHub, estan investigant activament una sèrie d'atacs a la seva infraestructura en el núvol, Ja que aquest tipus d'atacs van permetre als hackers poder fer ús dels servidors de l'empresa per realitzar operacions il·lícites de mineria de moneda digital.
I és que durant el tercer trimestre del 2020, aquests atacs es basaven en fer ús d'una funció de GitHub anomenada GitHub Actions que permet als usuaris iniciar tasques automàticament després d'un determinat esdeveniment de les seves repositoris de GitHub.
Per aconseguir aquest exploit, els hackers es feien amb el control d'un repositori legítim instal·lant en GitHub Actions codi maliciós en el codi original i després realitzar una sol·licitud d'extracció amb el repositori original per fusionar el codi modificat amb el codi legítim.
Com a part de l'atac a GitHub, els investigadors de seguretat van informar que els hackers podrien executar fins a 100 miners de moneda digital en un sol atac, Creant enormes càrregues computacionals en la infraestructura de GitHub. Fins ara, aquests hackers semblen operar a l'atzar ia gran escala.
La investigació ha revelat que a l'mínim un compte executa centenars de sol·licituds d'actualització que contenen codi maliciós. En aquest moment, els atacants no semblen apuntar activament als usuaris de GitHub, sinó que se centren en utilitzar la infraestructura en el núvol de GitHub per allotjar l'activitat de criptominería.
L'enginyer de seguretat holandès Justin Perdok li va dir a The Record que al menys un hacker està apuntant als repositoris de GitHub on les accions de GitHub podrien estar habilitades.
L'atac implica bifurcar un repositori legítim, afegir accions de GitHub malicioses a el codi original i després presentar una sol·licitud d'extracció amb el repositori original per fusionar el codi amb l'original.
El primer cas d'aquest atac va ser informat per un enginyer de programari a França al novembre de 2020. A l'igual que la seva reacció a el primer incident, GitHub va afirmar que està investigant activament l'atac recent. No obstant això, GitHub sembla anar i venir en els atacs, ja que els hackers simplement creen nous comptes una vegada que l'empresa detecta i desactiva els comptes infectades.
Al novembre de l'any passat, un equip d'experts en seguretat informàtica de Google encarregats de trobar vulnerabilitats de l'tipus 0-day va exposar una falla de seguretat a la plataforma GitHub. Segons Felix Wilhelm, el membre de l'equip de Project Zero que el va descobrir, la falla també va afectar la funcionalitat de GitHub Actions, una eina per automatitzar la feina dels desenvolupadors. Això es deu al fet que les ordres de flux de treball de Actions són «vulnerables als atacs d'injecció»:
Github Actions admet una funció anomenada ordres de flux de treball com a canal de comunicació entre el corredor d'Action i l'acció que s'està realitzant. Les ordres de flux de treball s'implementen en runner / src / Runner.Worker / ActionCommandManager.cs i funcionen analitzant sortida estàndard de totes les accions realitzades per un dels dos marcadors de comandament.
GitHub Actions està disponible en els comptes de GitHub Free, GitHub Pro, GitHub Free per organitzacions, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One i GitHub AE. Accions de GitHub no està disponible per a dipòsits privats propietat de comptes que fan servir plans antics.
L'activitat de mineria de moneda digital generalment s'oculta o s'executa en segon pla sense el consentiment de l'administrador o de l'usuari. Hi ha dos tipus de criptominería maliciosa:
- Mode binari: són aplicacions malicioses descarregades i instal·lades en el dispositiu de destinació amb l'objectiu d'extreure moneda digital. Algunes solucions de seguretat identifiquen la majoria d'aquestes aplicacions com troians.
- Mode de navegador: aquest és un codi JavaScript maliciós incrustat en una pàgina web (o alguns dels seus components o objectes), dissenyat per extreure moneda digital dels navegadors dels visitants de el lloc. Aquest mètode anomenat cryptojacking ha estat cada vegada més popular entre els ciberdelinqüents des de mitjans de 2017. Algunes solucions de seguretat detecten la majoria d'aquests scripts de cryptojacking com aplicacions potencialment no desitjades.