sok rendszergazdái a kódtárhely platform A GitHub aktívan vizsgálja a felhőinfrastruktúrájuk elleni támadások sorozatát, mivel ez a típusú támadás lehetővé tette a hackerek számára, hogy tiltott bányászati műveletek elvégzésére használják a vállalat szervereit a kriptovalutákból.
És ez az, hogy 2020 harmadik negyedévében ezek a támadások a GitHub Actions nevű GitHub szolgáltatás használatán alapultak amely lehetővé teszi a felhasználók számára, hogy egy bizonyos esemény után automatikusan elindítsák a feladatokat a GitHub tárházakból.
E kihasználás elérése érdekében a hackerek átvették az irányítást egy törvényes adattár felett, és rosszindulatú kódot telepítettek az eredeti kódba a GitHub Actions alkalmazásban majd húzási kérelmet nyújt be az eredeti adattárhoz a módosított kód és a törvényes kód egyesítéséhez.
A GitHub elleni támadás részeként biztonsági kutatók arról számoltak be, hogy a hackerek egyetlen támadással akár 100 kriptovaluta bányászt is felfuttathatnak, hatalmas számítási terhelést hozva létre a GitHub infrastruktúrán. Eddig úgy tűnik, hogy ezek a hackerek véletlenszerűen és nagy mértékben működnek.
A kutatás feltárta, hogy legalább egy fiók több száz frissítési kérelmet hajt végre, amelyek rosszindulatú kódot tartalmaznak. Jelenleg úgy tűnik, hogy a támadók nem aktívan célozzák meg a GitHub felhasználókat, ehelyett arra koncentrálnak, hogy a GitHub felhő-infrastruktúráját használják kriptográfiai bányászati tevékenységek fogadására.
Justin Perdok holland biztonsági mérnök a The Record-nak elmondta, hogy legalább egy hacker megcélozza a GitHub adattárakat, ahol engedélyezni lehet a GitHub műveleteket.
A támadás magában foglalja egy törvényes adattár elágazását, rosszindulatú GitHub-műveletek hozzáadását az eredeti kódhoz, majd egy lekérési kérelem benyújtását az eredeti tárral a kód és az eredeti egyesítéséhez.
Ennek a támadásnak az első esetét egy szoftvermérnök jelentette Franciaországban 2020 novemberében. Az első esetre adott reakciójához hasonlóan a GitHub is kijelentette, hogy aktívan vizsgálja a közelmúltbeli támadást. Úgy tűnik azonban, hogy a GitHub jön és megy a támadásokban, mivel a hackerek egyszerűen új fiókokat hoznak létre, amint a vállalat észleli és letiltja a fertőzött fiókokat.
Tavaly novemberben a Google informatikai biztonsági szakértőinek egy csoportja, amelynek feladata a 0 napos sebezhetőségek felkutatása volt, feltárta a GitHub platform biztonsági hibáját. Felix Wilhelm, a Project Zero csapatának tagja, aki felfedezte, a hiba a fejlesztők munkájának automatizálására szolgáló eszköz, a GitHub Actions funkcionalitását is érintette. Ennek oka, hogy az Actions munkafolyamat-parancsok "sérülékenyek az injekciós támadásokkal szemben":
A Github Actions támogatja a munkafolyamat-parancsok nevű szolgáltatást mint kommunikációs csatorna az Action közvetítő és az éppen végrehajtott művelet között. A munkafolyamat-parancsok a runner / src / Runner.Worker / ActionCommandManager.cs fájlban kerülnek végrehajtásra, és a két parancsjelző egyikén végrehajtott összes művelet STDOUT elemzésével működnek.
A GitHub Actions elérhető a GitHub Free, a GitHub Pro, a GitHub Free for Organisations, a GitHub Team, a GitHub Enterprise Cloud, a GitHub Enterprise Server, a GitHub One és a GitHub AE fiókokon. A GitHub műveletek nem érhetők el a régebbi terveket használó fiókok tulajdonában lévő magántáraknál.
A kriptovaluta bányászati tevékenysége általában a háttérben van elrejtve vagy adminisztrátor vagy felhasználói beleegyezés nélkül fut. Kétféle kártékony kriptográfia létezik:
- Bináris mód: rosszindulatú alkalmazások, amelyeket a céleszközre töltenek le és telepítenek azzal a céllal, hogy kriptovalutákat bányásszanak. Néhány biztonsági megoldás ezen alkalmazások nagy részét trójai programként azonosítja.
- Böngésző mód - Ez egy rosszindulatú JavaScript-kód, amely be van ágyazva egy weboldalba (vagy annak egyes alkotóelemeibe vagy tárgyaiba), és amelynek célja a kriptopénz kibontása a webhely látogatóinak böngészőiből. Ez a cryptojacking nevű módszer 2017 közepe óta egyre népszerűbb a kiberbűnözők körében. Egyes biztonsági megoldások a kriptojacking szkriptek többségét potenciálisan nemkívánatos alkalmazásként észlelik.