The administratori platforma za hosting koda GitHub aktivno istražuju seriju napada na njihovu infrastrukturu u oblaku, budući da je ova vrsta napada omogućila hakerima da koriste poslužitelje tvrtke za obavljanje ilegalnih rudarskih operacija kriptovaluta.
I to je da su tijekom trećeg kvartala 2020. ove napadi su se temeljili na korištenju GitHub značajke nazvane GitHub Actions koji korisnicima omogućuje automatsko pokretanje zadataka nakon određenog događaja iz njihovih GitHub spremišta.
Da bi postigli ovo iskorištavanje, hakeri su preuzeli kontrolu nad legitimnim spremištem instaliranjem zlonamjernog koda u izvorni kôd na GitHub Actions a zatim uputite zahtjev za povlačenjem prema izvornom spremištu za spajanje modificiranog koda s legitimnim kodom.
Kao dio napada na GitHub, sigurnosni istraživači izvijestili su da bi hakeri mogli pokrenuti do 100 rudara kriptovaluta u jednom napadu, stvarajući ogromna računalna opterećenja na GitHub infrastrukturi. Zasad se čini da ovi hakeri djeluju nasumično i u velikim razmjerima.
Istraživanje je otkrilo da barem jedan račun izvršava stotine zahtjeva za ažuriranje koji sadrže zlonamjerni kôd. Čini se da napadači trenutno ne ciljaju aktivno korisnike GitHub-a, već se usredotočuju na korištenje GitHub-ove infrastrukture u oblaku za hostiranje aktivnosti kriptokopavanja.
Nizozemski sigurnosni inženjer Justin Perdok rekao je za The Record da barem jedan haker cilja GitHub spremišta u kojima bi mogle biti omogućene GitHub akcije.
Napad uključuje račvanje legitimnog spremišta, dodavanje zlonamjernih GitHub radnji izvornom kodu, a zatim podnošenje zahtjeva za povlačenje s izvornim spremištem za spajanje koda s izvornikom.
O prvom slučaju ovog napada izvijestio je softverski inženjer u Francuskoj u studenom 2020. Kao i reakcija na prvi incident, GitHub je izjavio da aktivno istražuje nedavni napad. Međutim, čini se da GitHub dolazi i odlazi u napadima, jer hakeri jednostavno kreiraju nove račune kada tvrtka otkrije i onemogući zaražene račune.
U studenom prošle godine tim Googleovih stručnjaka za IT sigurnost čiji je zadatak bio pronaći dvodnevne ranjivosti otkrio je sigurnosnu manu na platformi GitHub. Prema Felixu Wilhelmu, članu tima Project Zero koji ga je otkrio, nedostatak je utjecao i na funkcionalnost GitHub Actiona, alata za automatizaciju rada programera. To je zato što su naredbe tijeka radnje „Action“ ranjive na napade ubrizgavanjem:
Github Actions podržava značajku koja se naziva naredbe tijeka rada kao komunikacijski kanal između posrednika akcije i radnje koja se provodi. Naredbe tijeka rada implementirane su u runner / src / Runner.Worker / ActionCommandManager.cs i rade raščlanjivanjem STDOUT svih radnji izvedenih za jedan od dva markera naredbi.
GitHub akcije dostupne su na računima GitHub Free, GitHub Pro, GitHub Free za organizacije, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One i GitHub AE. GitHub Actions nije dostupan za privatna spremišta u vlasništvu računa koji koriste starije planove.
Aktivnost rudarenja kriptovaluta obično je skrivena ili se izvodi u pozadini bez pristanka administratora ili korisnika. Dvije su vrste zlonamjernog kriptokopavanja:
- Binarni način rada: zlonamjerne su aplikacije preuzete i instalirane na ciljani uređaj s ciljem rudarenja kriptovaluta. Neka sigurnosna rješenja identificiraju većinu tih aplikacija kao trojanske programe.
- Način preglednika - ovo je zlonamjerni JavaScript kôd ugrađen u web stranicu (ili neke od njezinih komponenata ili objekata), dizajniran za izdvajanje kriptovalute iz preglednika posjetitelja web mjesta. Ova metoda nazvana kriptodokretom sve je popularnija među internetskim kriminalcima od sredine 2017. Neka sigurnosna rješenja otkrivaju većinu tih skripti kriptodokretnika kao potencijalno neželjene aplikacije.