Los administrator dari platform hosting kode GitHub, secara aktif menyelidiki serangkaian serangan pada infrastruktur cloud mereka, karena jenis serangan ini memungkinkan peretas menggunakan server perusahaan untuk melakukan operasi penambangan ilegal cryptocurrency.
Dan selama kuartal ketiga tahun 2020, ini serangan didasarkan pada penggunaan fitur GitHub yang disebut GitHub Actions yang memungkinkan pengguna memulai tugas secara otomatis setelah peristiwa tertentu dari repositori GitHub mereka.
Untuk mencapai eksploitasi ini, peretas mengambil kendali dari repositori yang sah dengan memasang kode berbahaya dalam kode asli di GitHub Actions dan kemudian buat permintaan tarik terhadap repositori asli untuk menggabungkan kode yang dimodifikasi dengan kode yang sah.
Sebagai bagian dari serangan di GitHub, peneliti keamanan melaporkan bahwa peretas dapat menjalankan hingga 100 penambang cryptocurrency dalam satu serangan, membuat beban komputasi yang sangat besar pada infrastruktur GitHub. Sejauh ini, para peretas ini tampaknya beroperasi secara acak dan dalam skala besar.
Penelitian telah mengungkapkan bahwa setidaknya satu akun menjalankan ratusan permintaan pembaruan yang berisi kode berbahaya. Saat ini, para penyerang tampaknya tidak secara aktif menargetkan pengguna GitHub, melainkan berfokus pada penggunaan infrastruktur cloud GitHub untuk menghosting aktivitas penambangan kripto.
Insinyur keamanan Belanda Justin Perdok mengatakan kepada The Record bahwa setidaknya satu peretas menargetkan repositori GitHub tempat tindakan GitHub dapat diaktifkan.
Serangan tersebut melibatkan pembagian repositori yang sah, menambahkan tindakan GitHub yang berbahaya ke kode asli, dan kemudian mengirimkan permintaan penarikan dengan repositori asli untuk menggabungkan kode dengan yang asli.
Kasus pertama serangan ini dilaporkan oleh seorang insinyur perangkat lunak di Prancis pada November 2020. Seperti reaksinya terhadap insiden pertama, GitHub menyatakan sedang aktif menyelidiki serangan baru-baru ini. Namun, GitHub tampaknya datang dan pergi dalam serangan itu, karena peretas cukup membuat akun baru setelah akun yang terinfeksi terdeteksi dan dinonaktifkan oleh perusahaan.
Pada November tahun lalu, tim pakar keamanan TI Google yang ditugaskan untuk menemukan kerentanan 0 hari mengungkap kelemahan keamanan di platform GitHub. Menurut Felix Wilhelm, anggota tim Project Zero yang menemukannya, cacat tersebut juga memengaruhi fungsionalitas GitHub Actions, alat untuk mengotomatiskan pekerjaan pengembang. Ini karena perintah alur kerja Actions "rentan terhadap serangan injeksi":
Tindakan Github mendukung fitur yang disebut perintah alur kerja sebagai saluran komunikasi antara Action broker dan action yang sedang dilakukan. Perintah alur kerja diimplementasikan di runner / src / Runner.Worker / ActionCommandManager.cs dan bekerja dengan mengurai STDOUT dari semua tindakan yang dilakukan untuk salah satu dari dua penanda perintah.
Tindakan GitHub tersedia di akun GitHub Gratis, GitHub Pro, GitHub Gratis untuk Organisasi, Tim GitHub, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One, dan GitHub AE. GitHub Actions tidak tersedia untuk repositori pribadi yang dimiliki oleh akun yang menggunakan paket lama.
Aktivitas penambangan Cryptocurrency biasanya disembunyikan atau berjalan di latar belakang tanpa izin administrator atau pengguna. Ada dua jenis penambangan kripto yang berbahaya:
- Mode biner: mereka adalah aplikasi berbahaya yang diunduh dan diinstal pada perangkat target dengan tujuan menambang mata uang kripto. Beberapa solusi keamanan mengidentifikasi sebagian besar aplikasi ini sebagai Trojan.
- Mode browser - Ini adalah kode JavaScript berbahaya yang disematkan di halaman web (atau beberapa komponen atau objeknya), dirancang untuk menambang cryptocurrency dari browser pengunjung situs. Metode yang disebut cryptojacking ini semakin populer di kalangan penjahat dunia maya sejak pertengahan 2017. Beberapa solusi keamanan mendeteksi sebagian besar skrip cryptojacking ini sebagai aplikasi yang mungkin tidak diinginkan.