Los administradores de la plataforma de alojamiento de código GitHub, están investigando activamente una serie de ataques a su infraestructura en la nube, ya que este tipo de ataques permitieron a los hackers poder hacer uso de los servidores de la empresa para realizar operaciones ilícitas de minería de criptomonedas.
Y es que durante el tercer trimestre del 2020, estos ataques se basaban en hacer uso de una función de GitHub llamada GitHub Actions que permite a los usuarios iniciar tareas automáticamente después de un determinado evento de sus repositorios de GitHub.
Para lograr este exploit, los hackers se hacían con el control de un repositorio legítimo instalando en GitHub Actions código malicioso en el código original y luego realizar una solicitud de extracción con el repositorio original para fusionar el código modificado con el código legítimo.
Como parte del ataque a GitHub, los investigadores de seguridad informaron que los hackers podrían ejecutar hasta 100 mineros de criptomonedas en un solo ataque, creando enormes cargas computacionales en la infraestructura de GitHub. Hasta ahora, estos hackers parecen operar al azar y a gran escala.
La investigación ha revelado que al menos una cuenta ejecuta cientos de solicitudes de actualización que contienen código malicioso. En este momento, los atacantes no parecen apuntar activamente a los usuarios de GitHub, sino que se centran en usar la infraestructura en la nube de GitHub para alojar la actividad de criptominería.
El ingeniero de seguridad holandés Justin Perdok le dijo a The Record que al menos un hacker está apuntando a los repositorios de GitHub donde las acciones de GitHub podrían estar habilitadas.
El ataque implica bifurcar un repositorio legítimo, agregar acciones de GitHub maliciosas al código original y luego presentar una solicitud de extracción con el repositorio original para fusionar el código con el original.
El primer caso de este ataque fue informado por un ingeniero de software en Francia en noviembre de 2020. Al igual que su reacción al primer incidente, GitHub afirmó que está investigando activamente el ataque reciente. Sin embargo, GitHub parece ir y venir en los ataques, ya que los hackers simplemente crean nuevas cuentas una vez que la empresa detecta y desactiva las cuentas infectadas.
En noviembre del año pasado, un equipo de expertos en seguridad informática de Google encargados de encontrar vulnerabilidades del tipo 0-day expuso una falla de seguridad en la plataforma GitHub. Según Felix Wilhelm, el miembro del equipo de Project Zero que lo descubrió, la falla también afectó la funcionalidad de GitHub Actions, una herramienta para automatizar el trabajo de los desarrolladores. Esto se debe a que los comandos de flujo de trabajo de Actions son «vulnerables a los ataques de inyección»:
Github Actions admite una función llamada comandos de flujo de trabajo como canal de comunicación entre el corredor de Action y la acción que se está realizando. Los comandos de flujo de trabajo se implementan en runner/src/Runner.Worker/ActionCommandManager.cs y funcionan analizando STDOUT de todas las acciones realizadas para uno de los dos marcadores de comando.
GitHub Actions está disponible en las cuentas de GitHub Free, GitHub Pro, GitHub Free para organizaciones, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One y GitHub AE. Acciones de GitHub no está disponible para repositorios privados propiedad de cuentas que usan planes antiguos.
La actividad de minería de criptomonedas generalmente se oculta o se ejecuta en segundo plano sin el consentimiento del administrador o del usuario. Hay dos tipos de criptominería maliciosa:
- Modo binario: son aplicaciones maliciosas descargadas e instaladas en el dispositivo de destino con el objetivo de extraer criptomonedas. Algunas soluciones de seguridad identifican la mayoría de estas aplicaciones como troyanos.
- Modo de navegador: este es un código JavaScript malicioso incrustado en una página web (o algunos de sus componentes u objetos), diseñado para extraer criptomonedas de los navegadores de los visitantes del sitio. Este método llamado cryptojacking ha sido cada vez más popular entre los ciberdelincuentes desde mediados de 2017. Algunas soluciones de seguridad detectan la mayoría de estos scripts de cryptojacking como aplicaciones potencialmente no deseadas.