Les administrateurs de la plateforme d'hébergement de code GitHub étudie activement une série d'attaques contre leur infrastructure cloud, puisque ce type d'attaque permettait aux pirates d'utiliser les serveurs de l'entreprise pour mener des opérations minières illicites des crypto-monnaies.
Et c'est qu'au troisième trimestre 2020, ces les attaques étaient basées sur l'utilisation d'une fonctionnalité GitHub appelée Actions GitHub qui permet aux utilisateurs de démarrer automatiquement des tâches après un certain événement à partir de leurs référentiels GitHub.
Pour réaliser cet exploit, des pirates ont pris le contrôle d'un référentiel légitime en installant du code malveillant dans le code d'origine sur GitHub Actions puis effectuez une demande d'extraction sur le référentiel d'origine pour fusionner le code modifié avec le code légitime.
Dans le cadre de l'attaque sur GitHub, des chercheurs en sécurité ont rapporté que les pirates pouvaient exécuter jusqu'à 100 mineurs de crypto-monnaie en une seule attaque, créant d'énormes charges de calcul sur l'infrastructure GitHub. Jusqu'à présent, ces pirates semblent opérer de manière aléatoire et à grande échelle.
Des recherches ont révélé qu'au moins un compte exécute des centaines de demandes de mise à jour contenant du code malveillant. À l'heure actuelle, les attaquants ne semblent pas cibler activement les utilisateurs de GitHub, se concentrant plutôt sur l'utilisation de l'infrastructure cloud de GitHub pour héberger l'activité de crypto-minage.
L'ingénieur de sécurité néerlandais Justin Perdok a déclaré à The Record qu'au moins un pirate informatique cible les référentiels GitHub où les actions GitHub pourraient être activées.
L'attaque consiste à forger un référentiel légitime, à ajouter des actions GitHub malveillantes au code d'origine, puis à soumettre une demande d'extraction avec le référentiel d'origine pour fusionner le code avec l'original.
Le premier cas de cette attaque a été signalé par un ingénieur logiciel en France en novembre 2020. À l'instar de sa réaction au premier incident, GitHub a déclaré qu'il enquêtait activement sur la récente attaque. Cependant, GitHub semble aller et venir dans les attaques, car les pirates créent simplement de nouveaux comptes une fois que les comptes infectés sont détectés et désactivés par l'entreprise.
En novembre de l'année dernière, une équipe d'experts en sécurité informatique de Google chargée de trouver des vulnérabilités à 0 jour a révélé une faille de sécurité dans la plate-forme GitHub. Selon Felix Wilhelm, le membre de l'équipe Project Zero qui l'a découvert, la faille a également affecté la fonctionnalité de GitHub Actions, un outil d'automatisation du travail des développeurs. En effet, les commandes de workflow Actions sont «vulnérables aux attaques par injection»:
Actions Github prend en charge une fonctionnalité appelée commandes de flux de travail comme canal de communication entre le courtier d'action et l'action en cours d'exécution. Les commandes de flux de travail sont implémentées dans runner / src / Runner.Worker / ActionCommandManager.cs et fonctionnent en analysant STDOUT de toutes les actions effectuées pour l'un des deux marqueurs de commande.
GitHub Actions est disponible sur les comptes GitHub Free, GitHub Pro, GitHub Free for Organizations, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One et GitHub AE. GitHub Actions n'est pas disponible pour les référentiels privés appartenant à des comptes utilisant des plans hérités.
L'activité d'extraction de crypto-monnaie est généralement masquée ou exécutée en arrière-plan sans le consentement de l'administrateur ou de l'utilisateur. Il existe deux types de crypto mining malveillant:
- Mode binaire: ce sont des applications malveillantes téléchargées et installées sur l'appareil cible dans le but de miner des crypto-monnaies. Certaines solutions de sécurité identifient la plupart de ces applications comme des chevaux de Troie.
- Mode navigateur - Il s'agit d'un code JavaScript malveillant intégré dans une page Web (ou certains de ses composants ou objets), conçu pour extraire la crypto-monnaie des navigateurs des visiteurs du site. Cette méthode appelée cryptojacking est de plus en plus populaire auprès des cybercriminels depuis la mi-2017. Certaines solutions de sécurité détectent la plupart de ces scripts de cryptojacking comme des applications potentiellement indésirables.