Os hackers fixeron uso dos servidores GitHub para a minería de criptocurrency

Logotipo de GitHub

O administradores de a plataforma de aloxamento de código GitHub está a investigar activamente unha serie de ataques á súa infraestrutura na nube, xa que este tipo de ataques permitían aos hackers utilizar os servidores da compañía para realizar operacións de minería ilícitas de cripto-moedas. 

E é que durante o terceiro trimestre de 2020, estes os ataques baseáronse en facer uso dunha función GitHub chamada GitHub Actions o que permite aos usuarios iniciar automaticamente tarefas despois dun determinado evento desde os seus repositorios de GitHub.

Para acadar esta explotación, os hackers tomaron o control dun repositorio lexítimo instalando código malicioso no código orixinal en GitHub Actions e logo faga unha solicitude de extracción contra o repositorio orixinal para combinar o código modificado co código lexítimo.

Como parte do ataque a GitHub, investigadores de seguridade informaron de que os piratas informáticos poderían executar ata 100 mineiros de criptomonedas nun só ataque, creando enormes cargas computacionais na infraestrutura GitHub. Ata agora, estes hackers parecen operar ao azar e a gran escala.

A investigación revelou que polo menos unha conta executa centos de solicitudes de actualización que conteñen código malicioso. Neste momento, os atacantes non parecen dirixirse activamente aos usuarios de GitHub, senón que se centran en usar a infraestrutura na nube de GitHub para aloxar actividade de minería de criptografía.

O enxeñeiro de seguridade holandés Justin Perdok dixo a The Record que polo menos un hacker está dirixido a repositorios de GitHub onde se poderían habilitar as accións de GitHub.

O ataque implica forcar un repositorio lexítimo, engadir accións GitHub maliciosas ao código orixinal e, a continuación, enviar unha solicitude de extracción co repositorio orixinal para combinar o código co orixinal.

O primeiro caso deste ataque foi informado por un enxeñeiro de software en Francia en novembro de 2020. Do mesmo xeito que a súa reacción ao primeiro incidente, GitHub afirmou que está a investigar activamente o recente ataque. Non obstante, GitHub parece ir e vir nos ataques, xa que os hackers simplemente crean novas contas unha vez que a empresa detecta e desactiva as contas infectadas.

En novembro do ano pasado, un equipo de expertos en seguridade informática de Google encargados de atopar vulnerabilidades de 0 días expuxeron un fallo de seguridade na plataforma GitHub. Segundo Felix Wilhelm, o membro do equipo de Project Zero que o descubriu, a falla tamén afectou á funcionalidade de GitHub Actions, unha ferramenta para automatizar o traballo dos desenvolvedores. Isto débese a que os comandos de fluxo de traballo de Actions son "vulnerables aos ataques de inxección":

Github Actions admite unha función chamada comandos de fluxo de traballo como canle de comunicación entre o corredor de acción e a acción que se está a levar a cabo. Os comandos de fluxo de traballo implementanse en runner / src / Runner.Worker / ActionCommandManager.cs e funcionan analizando STDOUT de todas as accións realizadas para un dos dous marcadores de comandos.

GitHub Actions está dispoñible nas contas GitHub Free, GitHub Pro, GitHub Free para organizacións, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One e GitHub AE. GitHub Actions non está dispoñible para repositorios privados propiedade de contas que usan plans antigos.

A actividade de minería de moedas criptográficas adoita ocultarse ou executarse en segundo plano sen o consentimento do administrador ou do usuario. Existen dous tipos de minería de criptografía maliciosa:

  • Modo binario: son aplicacións maliciosas descargadas e instaladas no dispositivo de destino co obxectivo de extraer cripto-moedas. Algunhas solucións de seguridade identifican a maioría destas aplicacións como troianos.
  • Modo navegador: trátase dun código JavaScript malicioso incrustado nunha páxina web (ou algúns dos seus compoñentes ou obxectos), deseñada para extraer criptocurrency dos navegadores dos visitantes do sitio. Este método chamado cryptojacking foi cada vez máis popular entre os ciberdelincuentes desde mediados de 2017. Algunhas solucións de seguridade detectan a maioría destes scripts de cryptojacking como aplicacións potencialmente non desexadas.

 

 


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.