masse administratorer af kodehostingsplatformen GitHub undersøger aktivt en række angreb på deres skyinfrastruktur, da denne type angreb tillod hackere at bruge virksomhedens servere til at udføre ulovlige minedrift af kryptokurver.
Og det er, at i løbet af tredje kvartal 2020 angreb var baseret på at bruge en GitHub-funktion kaldet GitHub Actions som giver brugerne mulighed for at starte opgaver automatisk efter en bestemt begivenhed fra deres GitHub-arkiver.
For at opnå denne udnyttelse, hackere tog kontrol over et legitimt lager ved at installere ondsindet kode i den originale kode på GitHub Actions og lav derefter en pull-anmodning mod det originale lager for at flette den modificerede kode med den legitime kode.
Som en del af angrebet på GitHub, sikkerhedsforskere rapporterede, at hackere kunne køre op til 100 kryptovaluta-minearbejdere i et enkelt angreb, hvilket skaber enorme beregningsbelastninger på GitHub-infrastrukturen. Indtil videre ser disse hackere ud til at fungere tilfældigt og i stor skala.
Forskning har afsløret, at mindst én konto udfører hundredvis af opdateringsanmodninger, der indeholder ondsindet kode. Lige nu ser det ud til, at angriberne ikke målretter aktivt mod GitHub-brugere, men i stedet fokuserer på at bruge GitHubs skyinfrastruktur til at være vært for krypto-minedrift.
Den hollandske sikkerhedsingeniør Justin Perdok fortalte The Record, at mindst en hacker målretter mod GitHub-arkiver, hvor GitHub-handlinger kan aktiveres.
Angrebet involverer gaffel af et legitimt lager, tilføjelse af ondsindede GitHub-handlinger til den oprindelige kode og derefter fremsendelse af en pull-anmodning med det originale lager for at flette koden med originalen.
Det første tilfælde af dette angreb blev rapporteret af en softwaretekniker i Frankrig i november 2020. Ligesom sin reaktion på den første hændelse sagde GitHub, at den aktivt undersøger det nylige angreb. GitHub ser imidlertid ud til at komme og gå i angrebene, da hackere simpelthen opretter nye konti, når de inficerede konti er opdaget og deaktiveret af virksomheden.
I november sidste år afslørede et team af Googles it-sikkerhedseksperter, der havde til opgave at finde 0-dages sårbarheder, en sikkerhedsfejl i GitHub-platformen. Ifølge Felix Wilhelm, Project Zero-teammedlem, der opdagede det, påvirkede fejlen også funktionaliteten af GitHub Actions, et værktøj til automatisering af udvikleres arbejde. Dette skyldes, at kommandoer for Handlings-workflow er "sårbare over for injektionsangreb":
Github Actions understøtter en funktion kaldet workflow-kommandoer som en kommunikationskanal mellem handlingsmægleren og den handling, der udføres. Workflow-kommandoer implementeres i runner / src / Runner.Worker / ActionCommandManager.cs og fungerer ved at analysere STDOUT af alle handlinger, der udføres for en af de to kommandomarkører.
GitHub Actions er tilgængelig på GitHub Free, GitHub Pro, GitHub Free for Organisations, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One og GitHub AE accounts. GitHub Actions er ikke tilgængelig for private arkiver, der ejes af konti, der bruger ældre planer.
Minedrift med kryptovaluta er normalt skjult eller kører i baggrunden uden administrator- eller brugersamtykke. Der er to typer ondsindet kryptomining:
- Binær tilstand: de er ondsindede applikationer, der downloades og installeres på målenheden med det formål at udvinde kryptokurver. Nogle sikkerhedsløsninger identificerer de fleste af disse applikationer som trojanske heste.
- Browser-tilstand - Dette er ondsindet JavaScript-kode indlejret i en webside (eller nogle af dens komponenter eller objekter), der er designet til at udtrække kryptovaluta fra webstedsbesøgendes browsere. Denne metode kaldet cryptojacking har været mere og mere populær blandt cyberkriminelle siden midten af 2017. Nogle sikkerhedsløsninger opdager de fleste af disse cryptojacking-scripts som potentielt uønskede applikationer.