Los järjestelmänvalvojat koodin isännöintialusta GitHub tutkii aktiivisesti sarjaa pilvi-infrastruktuuriaan koskevia hyökkäyksiä, koska tämäntyyppinen hyökkäys antoi hakkereille mahdollisuuden käyttää yrityksen palvelimia laittomien kaivostoimintojen suorittamiseen kryptovaluutoista.
Ja se on, että vuoden 2020 kolmannella neljänneksellä nämä hyökkäykset perustuivat käyttämään GitHub-ominaisuutta nimeltä GitHub Actions jonka avulla käyttäjät voivat aloittaa tehtävät automaattisesti tietyn tapahtuman jälkeen GitHub-arkistoistaan.
Tämän hyödyntämisen saavuttamiseksi hakkerit ottivat laillisen arkiston hallintaan asentamalla haitallisen koodin alkuperäiseen koodiin GitHub Actions -sovelluksessa ja tee sitten vetopyyntö alkuperäistä arkistoa vastaan yhdistääksesi muokatun koodin oikeutettuun koodiin.
Osana GitHubin hyökkäystä tietoturvatutkijat kertoivat, että hakkerit pystyivät juoksemaan jopa 100 kryptovaluutan kaivosta yhdessä hyökkäyksessä, mikä luo valtavia laskennallisia kuormia GitHub-infrastruktuurille. Toistaiseksi nämä hakkerit näyttävät toimivan satunnaisesti ja laajamittaisesti.
Tutkimus on paljastanut, että ainakin yksi tili suorittaa satoja päivityspyyntöjä, jotka sisältävät haitallista koodia. Tällä hetkellä hyökkääjät eivät näytä kohdistavan aktiivisesti GitHub-käyttäjiä, vaan keskittyvät GitHubin pilvi-infrastruktuurin käyttämiseen salauksen louhintaan.
Hollantilainen turvallisuusinsinööri Justin Perdok kertoi The Recordille, että ainakin yksi hakkeri kohdistaa GitHub-arkistoihin, joissa GitHub-toiminnot voitaisiin ottaa käyttöön.
Hyökkäys käsittää laillisen tietovaraston haarautumisen, haitallisten GitHub-toimintojen lisäämisen alkuperäiseen koodiin ja lähetysvetopyynnön alkuperäisen arkiston kanssa yhdistämään koodi alkuperäiseen.
Ensimmäisen tapauksen tästä hyökkäyksestä ilmoitti ohjelmistosuunnittelija Ranskassa marraskuussa 2020. Kuten ensimmäiseen tapaukseen, GitHub ilmoitti tutkivansa aktiivisesti äskettäistä hyökkäystä. GitHub näyttää kuitenkin tulleen ja menevän hyökkäyksissä, koska hakkerit yksinkertaisesti luovat uusia tilejä, kun yritys on havainnut ja poistanut tartunnan saaneet tilit.
Viime vuoden marraskuussa joukko Googlen tietoturva-asiantuntijoita, joiden tehtävänä oli löytää 0 päivän haavoittuvuudet, paljastivat tietoturva-aukon GitHub-alustalla. Sen löytäneen Project Zero -tiimin jäsenen Felix Wilhelmin mukaan virhe vaikutti myös kehittäjien työn automatisointityökalun GitHub Actions -toimintoon. Tämä johtuu siitä, että Actions-työnkulun komennot ovat "alttiita injektiohyökkäyksille":
Github Actions tukee ominaisuutta, jota kutsutaan työnkulkukomennoiksi viestintäkanavana Action-välittäjän ja suoritettavan toiminnan välillä. Työnkulun komennot toteutetaan runner / src / Runner.Worker / ActionCommandManager.cs-tiedostoissa ja ne toimivat jäsentämällä STDOUT-toiminnot kaikista toiselle komentomerkinnälle suoritetuista toiminnoista.
GitHub Actions on saatavana GitHub Free-, GitHub Pro-, GitHub Free for Organisations-, GitHub Team-, GitHub Enterprise Cloud-, GitHub Enterprise Server-, GitHub One- ja GitHub AE -tileillä. GitHub Actions ei ole käytettävissä yksityisissä arkistoissa, jotka omistavat vanhempia suunnitelmia käyttävät tilit.
Kryptovaluutan kaivostoiminta on yleensä piilotettu tai suoritettu taustalla ilman järjestelmänvalvojan tai käyttäjän suostumusta. Haitallista salauksen louhintaa on kahta tyyppiä:
- Binaaritila: ne ovat haittaohjelmia, jotka on ladattu ja asennettu kohdelaitteeseen kryptovaluuttojen louhimiseksi. Jotkin tietoturvaratkaisut tunnistavat suurimman osan näistä sovelluksista troijalaisiksi.
- Selaintila - Tämä on haitallinen JavaScript-koodi, joka on upotettu verkkosivulle (tai joillekin sen komponenteille tai esineille) ja joka on suunniteltu kaivamaan salausvaluuttoja sivuston kävijöiden selaimista. Tämä menetelmä, jota kutsutaan kryptojackingiksi, on ollut yhä suositumpi tietoverkkorikollisten keskuudessa vuoden 2017 puolivälistä lähtien. Jotkut tietoturvaratkaisut havaitsevat suurimman osan näistä salausohjelmista mahdollisesti ei-toivotuina sovelluksina.