osa administraatorid koodi hostimise platvorm GitHub uurib aktiivselt rida rünnakuid oma pilvetaristule, kuna seda tüüpi rünnakud võimaldasid häkkeritel kasutada ettevõtte servereid ebaseaduslike kaevandamistoimingute teostamiseks krüptovaluutadest.
Ja see on see, et 2020. aasta kolmandas kvartalis need rünnakud põhinesid GitHubi funktsiooni GitHub Actions kasutamisel mis võimaldab kasutajatel pärast teatud sündmust oma GitHubi hoidlatest automaatselt ülesandeid käivitada.
Selle ärakasutamise saavutamiseks häkkerid võtsid õigustatud hoidla kontrolli alla, installides GitHub Actionsis algsesse koodi pahatahtliku koodi ja seejärel tehke algse hoidla vastu tõmbenõue muudetud koodi ühendamiseks õigustatud koodiga.
GitHubi rünnaku osana turvateadlased teatasid, et häkkerid võivad ühe rünnaku käigus käivitada kuni 100 krüptovaluuta kaevurit, luues GitHubi infrastruktuurile tohutuid arvutuskoormusi. Siiani näivad need häkkerid toimivat juhuslikult ja suures ulatuses.
Uuringud on näidanud, et vähemalt üks konto täidab sadu värskendustaotlusi, mis sisaldavad pahatahtlikku koodi. Praegu ei näi ründajad GitHubi kasutajaid aktiivselt sihtivat, vaid keskenduvad krüptokaevanduste korraldamiseks GitHubi pilvetaristu kasutamisele.
Hollandi turvainsener Justin Perdok ütles ajakirjale The Record, et vähemalt üks häkker sihib GitHubi hoidlaid, kus GitHubi toiminguid saaks lubada.
Rünnak hõlmab seadusliku hoidla hargnemist, pahatahtlike GitHubi toimingute lisamist algsele koodile ja seejärel algse hoidlaga tõmbenõude esitamist koodi ühendamiseks originaaliga.
Selle rünnaku esimesest juhtumist teatas tarkvarainsener Prantsusmaal 2020. aasta novembris. Nagu ka reaktsioon esimesele juhtumile, teatas GitHub, et uurib hiljutist rünnakut aktiivselt. Tundub, et GitHub tuleb rünnakute juurde ja läheb, kuna häkkerid loovad lihtsalt nakatunud kontod, kui ettevõte on nakatunud kontod tuvastanud ja keelanud.
Eelmise aasta novembris paljastas Google'i IT-turvaekspertide meeskond, kelle ülesandeks oli leida 0-päevased haavatavused, GitHubi platvormi turvaviga. Selle avastanud Project Zero meeskonnaliikme Felix Wilhelmi sõnul mõjutas viga ka arendajate töö automatiseerimise tööriista GitHub Actions funktsionaalsust. Selle põhjuseks on asjaolu, et toimingute töövoo käsud on süstimisrünnakute suhtes haavatavad:
Github Actions toetab funktsiooni, mida nimetatakse töövoo käsudeks suhtluskanalina Actioni maakleri ja toimingu vahel. Töövoo käsud rakendatakse failides runner / src / Runner.Worker / ActionCommandManager.cs ja töötavad parsides STDOUT kõik toimingud, mis on tehtud ühe kahest käsumärgist.
GitHubi toimingud on saadaval GitHub Free, GitHub Pro, GitHub Free for Organisations, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One ja GitHub AE kontodel. GitHubi toimingud pole saadaval privaatsete hoidlate jaoks, mis kuuluvad vanemate pakettidega kontodele.
Krüptoraha kaevandamine on tavaliselt administraatori või kasutaja nõusolekuta peidetud või kulgeb taustal. Krüpto kaevandamist on kahte tüüpi:
- Binaarrežiim: need on sihtseadmesse alla laaditud ja installitud pahatahtlikud rakendused, mille eesmärk on krüptorahade kaevandamine. Mõne turbelahendusega tuvastatakse enamik neist rakendustest troojalastena.
- Brauserirežiim - see on veebilehele (või mõnele selle komponendile või objektile) sisse pandud pahatahtlik JavaScripti kood, mis on loodud krüptovaluutade kaevandamiseks saidi külastajate brauseritest. See krüptojackimiseks kutsutud meetod on olnud küberkurjategijate seas üha populaarsem alates 2017. aasta keskpaigast. Mõni turbelahendus tuvastab suurema osa neist krüptojackimise skriptidest potentsiaalselt soovimatute rakendustena.