Hackerrek GitHub zerbitzariak erabiltzen zituzten kriptografia moneta meatzaritzarako

GitHub logotipoa

The administratzaileak kodea ostatatzeko plataforma GitHub, hodeiko azpiegituraren aurkako eraso batzuk ikertzen ari dira, eraso mota horri esker, hackerrek konpainiaren zerbitzariak legez kanpoko meatzaritza-operazioak egiteko erabil zitezkeen kripto-moneta. 

Eta da 2020ko hirugarren hiruhilekoan zehar erasoak GitHub Actions izeneko GitHub funtzioa erabiltzean oinarritzen ziren horri esker, erabiltzaileek zereginak automatikoki abia ditzakete GitHub biltegietatik gertaera jakin baten ondoren.

Ustiapen hori lortzeko, hackerrek biltegi legitimo baten kontrola hartu zuten jatorrizko kodean kode maltzurra instalatuz GitHub Actions-en eta, ondoren, egin jatorrizko biltegiaren aurkako pull eskaera, aldatutako kodea legezko kodearekin bateratzeko.

GitHub-en aurkako erasoaren barruan, segurtasuneko ikertzaileek jakinarazi dute hackerrek 100 kriptokonferentziako meatzari arte exekutatu ditzaketela eraso bakarrean, GitHub azpiegituran konputazio karga izugarriak sortuz. Orain arte, hacker hauek ausaz eta eskala handian funtzionatzen dutela dirudi.

Ikerketek agerian utzi dute gutxienez kontu batek kode kaltegarria duten ehunka eguneratze eskaera egiten dituela. Oraintxe bertan, erasotzaileek ez dirudi GitHub erabiltzaileei modu aktiboan zuzentzen ari direnik, baizik eta GitHub-en hodeiko azpiegitura erabiltzea kripto meatzaritza jarduera antolatzeko.

Justin Perdok Herbehereetako segurtasun ingeniariak The Record-i esan dionez, gutxienez hacker bat GitHub biltegietara zuzentzen da eta bertan GitHub ekintzak gaitu daitezke.

Erasoa zilegizko biltegi bat faltsutzea da, jatorrizko kodeari GitHub ekintza kaltegarriak gehitzea eta, ondoren, jatorrizko biltegiarekin pull eskaera bidaltzea kodea jatorrizkoarekin bateratzeko.

Eraso honen lehen kasua software ingeniari batek jakinarazi zuen Frantzian 2020ko azaroan. Lehen gertakariaren aurrean izandako erreakzioa bezala, GitHubek adierazi du azken erasoa modu aktiboan ikertzen ari dela. Hala ere, badirudi GitHub-ek erasoetan joan eta etorri egiten duela, hackerrek kontu berriak sortzen dituztelako behin kutsatutako kontuak enpresak detektatu eta desgaitu ondoren.

Iazko azaroan, 0 eguneko ahultasunak aurkitzeko Google IT segurtasuneko aditu talde batek segurtasun akatsa agerian utzi zuen GitHub plataforman. Felix Wilhelmek, hura aurkitu zuen Project Zero taldekidearen arabera, akatsak GitHub Actions-en funtzionaltasunean ere eragina izan zuen, garatzaileen lana automatizatzeko tresna. Ekintzen lan-fluxuaren komandoak "injekzio erasoen aurrean zaurgarriak" direlako gertatzen da:

Github Actions-ek lan-fluxuaren komandoak izeneko funtzioa onartzen du Action broker eta burutzen ari den ekintzaren arteko komunikazio kanal gisa. Lan-fluxuaren komandoak runner / src / Runner.Worker / ActionCommandManager.cs-en inplementatzen dira eta bi komando-markatzaileetako batean burututako ekintza guztien STDOUT analizatuz funtzionatzen dute.

GitHub Actions eskuragarri dago GitHub Free, GitHub Pro, GitHub Free Erakundeetarako, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One eta GitHub AE kontuetan. GitHub Actions ez dago erabilgarri ondare planak erabiliz kontuen jabetzako biltegi pribatuetarako.

Kriptomoneten meatzaritzako jarduera normalean ezkutatuta edo bigarren planoan exekutatzen da administratzailearen edo erabiltzailearen baimenik gabe. Bi kriptografia meatzaritza maltzurren mota daude:

  • Modu bitarra: helburu gailuan deskargatu eta instalatutako aplikazio maltzurrak dira, kriptokonferentziak ustiatzeko helburuarekin. Segurtasun irtenbide batzuek Troiako gisa identifikatzen dituzte aplikazio horietako gehienak.
  • Arakatzaile modua - Webgune batean (edo bere osagai edo objektu batzuen) txertatutako JavaScript kodea da, webguneko bisitarien arakatzaileetatik kriptografia moneta ateratzeko diseinatua. Kriptojacking izeneko metodo hau gero eta ezagunagoa da ziberkriminalen artean 2017. urtearen erdialdetik. Segurtasun irtenbide batzuek kriptojacking script hauetako gehienak nahi ez dituzten aplikazio gisa hautematen dituzte.

 

 


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.