Ο διαχειριστές του την πλατφόρμα φιλοξενίας κώδικα Το GitHub, ερευνά ενεργά μια σειρά επιθέσεων στην υποδομή του cloud, καθώς αυτός ο τύπος επίθεσης επέτρεψε στους χάκερ να χρησιμοποιούν τους διακομιστές της εταιρείας για να πραγματοποιήσουν παράνομες δραστηριότητες εξόρυξης κρυπτονομισμάτων.
Και είναι ότι κατά το τρίτο τρίμηνο του 2020, αυτά οι επιθέσεις βασίστηκαν στη χρήση μιας δυνατότητας GitHub που ονομάζεται GitHub Actions το οποίο επιτρέπει στους χρήστες να ξεκινούν εργασίες αυτόματα μετά από ένα συγκεκριμένο συμβάν από τα αποθετήρια GitHub.
Για να το πετύχουμε, χάκερ ανέλαβαν τον έλεγχο ενός νόμιμου αποθετηρίου εγκαθιστώντας κακόβουλο κώδικα στον αρχικό κώδικα στο GitHub Actions και, στη συνέχεια, κάντε ένα αίτημα έλξης στο αρχικό αποθετήριο για να συγχωνεύσετε τον τροποποιημένο κώδικα με τον νόμιμο κώδικα.
Ως μέρος της επίθεσης στο GitHub, ερευνητές ασφαλείας ανέφεραν ότι οι χάκερ θα μπορούσαν να εκτελέσουν έως και 100 ανθρακωρύχους κρυπτογράφησης σε μία επίθεση, δημιουργώντας τεράστια υπολογιστικά φορτία στην υποδομή GitHub. Μέχρι στιγμής, αυτοί οι χάκερ φαίνεται να λειτουργούν τυχαία και σε μεγάλη κλίμακα.
Η έρευνα αποκάλυψε ότι τουλάχιστον ένας λογαριασμός εκτελεί εκατοντάδες αιτήματα ενημέρωσης που περιέχουν κακόβουλο κώδικα. Αυτήν τη στιγμή, οι εισβολείς δεν φαίνεται να στοχεύουν ενεργά τους χρήστες του GitHub, αντί να επικεντρώνονται στη χρήση της υποδομής cloud του GitHub για τη φιλοξενία δραστηριότητας εξόρυξης κρυπτογράφησης.
Ο Ολλανδός μηχανικός ασφαλείας Justin Perdok είπε στο The Record ότι τουλάχιστον ένας χάκερ στοχεύει σε αποθετήρια GitHub όπου θα μπορούσαν να ενεργοποιηθούν οι ενέργειες του GitHub.
Η επίθεση περιλαμβάνει τη διαμόρφωση ενός νόμιμου αποθετηρίου, την προσθήκη κακόβουλων ενεργειών GitHub στον αρχικό κώδικα και, στη συνέχεια, την υποβολή ενός αιτήματος τραβήγματος με το αρχικό αποθετήριο για τη συγχώνευση του κώδικα με το πρωτότυπο.
Η πρώτη περίπτωση αυτής της επίθεσης αναφέρθηκε από έναν μηχανικό λογισμικού στη Γαλλία το Νοέμβριο του 2020. Όπως και η αντίδρασή του στο πρώτο περιστατικό, η GitHub δήλωσε ότι διερευνά ενεργά την πρόσφατη επίθεση. Ωστόσο, το GitHub φαίνεται να έρχεται και να πηγαίνει στις επιθέσεις, καθώς οι χάκερ δημιουργούν απλώς νέους λογαριασμούς μόλις εντοπιστούν και απενεργοποιηθούν οι μολυσμένοι λογαριασμοί από την εταιρεία.
Τον Νοέμβριο του περασμένου έτους, μια ομάδα εμπειρογνωμόνων ασφαλείας της Google πληροφορικής που ανέλαβε την εύρεση τρωτών σημείων 0 ημερών αποκάλυψε ένα ελάττωμα ασφαλείας στην πλατφόρμα GitHub. Σύμφωνα με τον Felix Wilhelm, το μέλος της ομάδας Project Zero που το ανακάλυψε, το ελάττωμα επηρέασε επίσης τη λειτουργικότητα του GitHub Actions, ενός εργαλείου για την αυτοματοποίηση της εργασίας των προγραμματιστών. Αυτό συμβαίνει επειδή οι εντολές ροής εργασίας Actions είναι "ευάλωτες σε επιθέσεις με έγχυση":
Το Github Actions υποστηρίζει μια λειτουργία που ονομάζεται εντολές ροής εργασίας ως κανάλι επικοινωνίας μεταξύ του Μεσίτη δράσης και της δράσης που πραγματοποιείται. Οι εντολές ροής εργασίας εφαρμόζονται στο runner / src / Runner.Worker / ActionCommandManager.cs και λειτουργούν με ανάλυση του STDOUT όλων των ενεργειών που εκτελούνται για έναν από τους δύο δείκτες εντολών.
Το GitHub Actions είναι διαθέσιμο σε λογαριασμούς GitHub Free, GitHub Pro, GitHub Free for Organizations, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One και GitHub AE. Το GitHub Actions δεν είναι διαθέσιμο για ιδιωτικά αποθετήρια που ανήκουν σε λογαριασμούς που χρησιμοποιούν παλαιότερα προγράμματα.
Η δραστηριότητα εξόρυξης κρυπτονομισμάτων συνήθως κρύβεται ή εκτελείται στο παρασκήνιο χωρίς τη συγκατάθεση του διαχειριστή ή του χρήστη. Υπάρχουν δύο τύποι κακόβουλης εξόρυξης κρυπτογράφησης:
- Δυαδική λειτουργία: είναι κακόβουλες εφαρμογές που λαμβάνονται και εγκαθίστανται στη συσκευή προορισμού με σκοπό την εξόρυξη κρυπτονομισμάτων. Ορισμένες λύσεις ασφαλείας προσδιορίζουν τις περισσότερες από αυτές τις εφαρμογές ως Trojans.
- Λειτουργία προγράμματος περιήγησης - Πρόκειται για κακόβουλο κώδικα JavaScript που είναι ενσωματωμένος σε μια ιστοσελίδα (ή σε ορισμένα από τα στοιχεία ή τα αντικείμενά της), σχεδιασμένος για την εξαγωγή κρυπτογράφησης από τα προγράμματα περιήγησης των επισκεπτών του ιστότοπου. Αυτή η μέθοδος που ονομάζεται cryptojacking είναι όλο και πιο δημοφιλής στους εγκληματίες του κυβερνοχώρου από τα μέσα του 2017. Ορισμένες λύσεις ασφαλείας εντοπίζουν τα περισσότερα από αυτά τα scripts cryptojacking ως δυνητικά ανεπιθύμητες εφαρμογές.