L správci platforma pro hostování kódu GitHub aktivně vyšetřuje řadu útoků na jejich cloudovou infrastrukturu, protože tento typ útoku umožňoval hackerům používat servery společnosti k provádění nezákonných těžebních operací kryptoměn.
A je to tak během třetího čtvrtletí roku 2020 útoky byly založeny na využití funkce GitHub zvané Akce GitHub což umožňuje uživatelům automaticky spouštět úkoly po určité události ze svých úložišť GitHub.
K dosažení tohoto zneužití hackeři převzali kontrolu nad legitimním úložištěm instalací škodlivého kódu do původního kódu v akcích GitHub a poté proveďte požadavek na stažení oproti původnímu úložišti ke sloučení upraveného kódu s legitimním kódem.
V rámci útoku na GitHub vědci v oblasti bezpečnosti uvedli, že hackeři mohli v jediném útoku spustit až 100 těžařů kryptoměny, vytváření obrovské výpočetní zátěže na infrastruktuře GitHub. Zatím se zdá, že tito hackeři pracují náhodně a ve velkém měřítku.
Výzkum ukázal, že alespoň jeden účet provádí stovky požadavků na aktualizaci, které obsahují škodlivý kód. Právě teď se zdá, že se útočníci aktivně nezaměřují na uživatele GitHubu, místo toho se zaměřují na používání cloudové infrastruktury GitHubu k hostování aktivity těžby kryptoměn.
Nizozemský bezpečnostní inženýr Justin Perdok pro The Record uvedl, že alespoň jeden hacker cílí na úložiště GitHub, kde lze povolit akce GitHub.
Útok zahrnuje rozvětvení legitimního úložiště, přidání škodlivých akcí GitHub do původního kódu a následné odeslání požadavku na stažení s původním úložištěm ke sloučení kódu s originálem.
První případ tohoto útoku nahlásil softwarový inženýr ve Francii v listopadu 2020. Stejně jako reakce na první incident, GitHub uvedl, že aktivně vyšetřuje nedávný útok. Zdá se však, že GitHub v útocích přichází a odchází, protože hackeři jednoduše vytvoří nové účty, jakmile společnost detekuje a deaktivuje infikované účty.
V listopadu loňského roku odhalil tým odborníků na bezpečnost IT společnosti Google, který měl za úkol najít 0denní chyby zabezpečení, bezpečnostní chybu v platformě GitHub. Podle Felixa Wilhelma, člena týmu Project Zero, který to objevil, chyba také ovlivnila funkčnost GitHub Actions, nástroje pro automatizaci práce vývojářů. Důvodem je, že příkazy pracovního postupu Akce jsou „zranitelné vůči útokům injekcí“:
Akce Github podporuje funkci nazvanou příkazy pracovního postupu jako komunikační kanál mezi makléřem akce a akcí, která se provádí. Příkazy pracovního postupu jsou implementovány v souboru runner / src / Runner.Worker / ActionCommandManager.cs a fungují analýzou STDOUT všech akcí provedených pro jeden ze dvou značek příkazů.
Akce GitHub jsou k dispozici na účtech GitHub Free, GitHub Pro, GitHub Free pro organizace, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One a GitHub AE. Akce GitHub nejsou k dispozici pro soukromá úložiště vlastněná účty používajícími starší plány.
Aktivita těžby kryptoměny je obvykle skrytá nebo spuštěna na pozadí bez souhlasu správce nebo uživatele. Existují dva typy škodlivé těžby kryptoměn:
- Binární režim: jsou to škodlivé aplikace stažené a nainstalované na cílovém zařízení za účelem těžby kryptoměn. Některá bezpečnostní řešení identifikují většinu těchto aplikací jako trojské koně.
- Režim prohlížeče - Jedná se o škodlivý kód JavaScript vložený do webové stránky (nebo některých jejích komponent či objektů), určený k těžbě kryptoměn z prohlížečů návštěvníků stránek. Tato metoda zvaná kryptojacking je u kyberzločinců stále oblíbenější od poloviny roku 2017. Některá bezpečnostní řešení detekují většinu těchto skriptů kryptoměny jako potenciálně nežádoucí aplikace.