I amministratori di la piattaforma di hosting del codice GitHub, sta attivamente indagando su una serie di attacchi alla loro infrastruttura cloud, poiché questo tipo di attacco consentiva agli hacker di utilizzare i server dell'azienda per eseguire operazioni di mining illecite di criptovalute.
Ed è che durante il terzo trimestre del 2020, questi gli attacchi erano basati sull'utilizzo di una funzionalità di GitHub chiamata GitHub Actions che consente agli utenti di avviare automaticamente le attività dopo un determinato evento dai loro repository GitHub.
Per ottenere questo exploit, gli hacker hanno preso il controllo di un repository legittimo installando codice dannoso nel codice originale su GitHub Actions e quindi fare una richiesta pull contro il repository originale per unire il codice modificato con il codice legittimo.
Nell'ambito dell'attacco a GitHub, ricercatori di sicurezza hanno riferito che gli hacker potrebbero eseguire fino a 100 minatori di criptovaluta in un singolo attacco, creando enormi carichi di calcolo sull'infrastruttura GitHub. Finora, questi hacker sembrano operare in modo casuale e su larga scala.
La ricerca ha rivelato che almeno un account esegue centinaia di richieste di aggiornamento che contengono codice dannoso. Al momento, gli aggressori non sembrano prendere di mira attivamente gli utenti di GitHub, concentrandosi invece sull'utilizzo dell'infrastruttura cloud di GitHub per ospitare l'attività di crypto mining.
L'ingegnere di sicurezza olandese Justin Perdok ha dichiarato a The Record che almeno un hacker sta prendendo di mira i repository GitHub in cui è possibile abilitare le azioni GitHub.
L'attacco prevede il fork di un repository legittimo, l'aggiunta di azioni GitHub dannose al codice originale e quindi l'invio di una richiesta pull con il repository originale per unire il codice con l'originale.
Il primo caso di questo attacco è stato segnalato da un ingegnere del software in Francia nel novembre 2020. Come la sua reazione al primo incidente, GitHub ha dichiarato che sta indagando attivamente sul recente attacco. Tuttavia, GitHub sembra andare e venire negli attacchi, poiché gli hacker creano semplicemente nuovi account una volta che l'azienda rileva e disattiva gli account infetti.
Nel novembre dello scorso anno, un team di esperti di sicurezza IT di Google incaricato di individuare le vulnerabilità 0-day ha rivelato una falla di sicurezza nella piattaforma GitHub. Secondo Felix Wilhelm, il membro del team di Project Zero che l'ha scoperto, il difetto ha influito anche sulla funzionalità di GitHub Actions, uno strumento per automatizzare il lavoro degli sviluppatori. Questo perché i comandi del flusso di lavoro Actions sono "vulnerabili agli attacchi injection":
Github Actions supporta una funzionalità chiamata comandi del flusso di lavoro come canale di comunicazione tra l'Action broker e l'azione che si sta eseguendo. I comandi del flusso di lavoro vengono implementati in runner / src / Runner.Worker / ActionCommandManager.cs e funzionano analizzando STDOUT di tutte le azioni eseguite per uno dei due indicatori di comando.
GitHub Actions è disponibile su GitHub Free, GitHub Pro, GitHub Free for Organizations, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One e GitHub AE. GitHub Actions non è disponibile per archivi privati di proprietà di account che utilizzano piani precedenti.
L'attività di mining di criptovaluta è solitamente nascosta o eseguita in background senza il consenso dell'amministratore o dell'utente. Esistono due tipi di mining crittografico dannoso:
- Modalità binaria: sono applicazioni dannose scaricate e installate sul dispositivo di destinazione con l'obiettivo di estrarre criptovalute. Alcune soluzioni di sicurezza identificano la maggior parte di queste applicazioni come Trojan.
- Modalità browser: codice JavaScript dannoso incorporato in una pagina Web (o alcuni dei suoi componenti o oggetti), progettato per estrarre criptovaluta dai browser dei visitatori del sito. Questo metodo chiamato cryptojacking è diventato sempre più popolare tra i criminali informatici dalla metà del 2017. Alcune soluzioni di sicurezza rilevano la maggior parte di questi script di cryptojacking come applicazioni potenzialmente indesiderate.