ل מנהלי פלטפורמת אירוח הקוד GitHub, חוקרים באופן פעיל סדרת התקפות על תשתית הענן שלהםמאחר שמתקפה מסוג זה אפשרה להאקרים להשתמש בשרתי החברה לביצוע פעולות כרייה בלתי חוקיות של מטבעות קריפטוגרפיים.
וזה במהלך הרבעון השלישי של 2020, אלה ההתקפות התבססו על שימוש בתכונה של GitHub הנקראת GitHub Actions המאפשר למשתמשים להתחיל משימות באופן אוטומטי לאחר אירוע מסוים ממאגרי GitHub שלהם.
כדי להשיג ניצול זה, האקרים השתלטו על מאגר לגיטימי על ידי התקנת קוד זדוני בקוד המקורי ב- GitHub Actions ואז הגיש בקשת משיכה נגד המאגר המקורי כדי למזג את הקוד ששונה עם הקוד הלגיטימי.
במסגרת ההתקפה על GitHub, חוקרי אבטחה דיווחו כי האקרים יכולים לרוץ עד 100 כורי מטבעות קריפטוגרפיים במתקפה אחת, יצירת עומסי חישוב עצומים על תשתית GitHub. עד כה נראה כי האקרים אלה פועלים באופן אקראי ובקנה מידה גדול.
מחקרים גילו כי לפחות חשבון אחד מבצע מאות בקשות עדכון המכילות קוד זדוני. נכון לעכשיו, נראה כי התוקפים אינם מכוונים באופן פעיל למשתמשי GitHub, אלא מתמקדים בשימוש בתשתית הענן של GitHub לאירוח פעילות כריית קריפטו.
מהנדס האבטחה ההולנדי, ג'סטין פרדוק, אמר ל- The Record כי לפחות האקר אחד מכוון למאגרי GitHub בהם ניתן לאפשר פעולות של GitHub.
ההתקפה כוללת זיוף מאגר לגיטימי, הוספת פעולות GitHub זדוניות לקוד המקורי, ואז הגשת בקשת משיכה עם המאגר המקורי למיזוג הקוד עם המקור.
המקרה הראשון של התקפה זו דווח על ידי מהנדס תוכנה בצרפת בנובמבר 2020. כמו תגובתו לתקרית הראשונה, GitHub הצהיר כי הוא חוקר באופן פעיל את המתקפה האחרונה. עם זאת, נראה ש- GitHub בא ונכנס להתקפות, שכן האקרים פשוט יוצרים חשבונות חדשים ברגע שהחשבונות הנגועים מזוהים על ידי החברה.
בנובמבר אשתקד צוות מומחי אבטחת IT של גוגל שהוטל על מציאת נקודות תורפה של 0 ימים חשף פגם אבטחה בפלטפורמת GitHub. לדברי פליקס וילהלם, איש צוות Project Zero שגילה זאת, הפגם השפיע גם על הפונקציונליות של GitHub Actions, כלי לאוטומציה של עבודת מפתחים. הסיבה לכך היא שפקודות זרימת העבודה של פעולות "פגיעות להתקפות הזרקה":
Github Actions תומך בתכונה הנקראת פקודות זרימת עבודה כערוץ תקשורת בין מתווך הפעולה לבין הפעולה המתבצעת. פקודות זרימת עבודה מיושמות ב- runner / src / Runner.Worker / ActionCommandManager.cs ועובדות על ידי ניתוח STDOUT של כל הפעולות שבוצעו עבור אחד משני סמני הפקודה.
GitHub Actions זמין ב- GitHub Free, GitHub Pro, GitHub Free עבור ארגונים, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One ו- GitHub AE. GitHub Actions אינו זמין למאגרים פרטיים שבבעלות חשבונות המשתמשים בתוכניות ישנות יותר.
פעילות כריית מטבעות קריפטוגרפית מוסתרת בדרך כלל או מופעלת ברקע ללא הסכמת מנהל או משתמש. ישנם שני סוגים של כריית קריפטו זדונית:
- מצב בינארי: הם יישומים זדוניים שהורדו והתקנו במכשיר היעד במטרה לכרות מטבעות קריפטוגרפיים. חלק מפתרונות האבטחה מזהים את רוב היישומים הללו כטרויאנים.
- מצב דפדפן - זהו קוד JavaScript זדוני המוטמע בדף אינטרנט (או בחלק ממרכיביו או חפציו), שנועד לכרות מטבעות קריפטוגרפיים מדפדפני המבקרים באתר. שיטה זו המכונה cryptojacking זוכה לפופולריות הולכת וגוברת בקרב פושעי סייבר מאז אמצע 2017. פתרונות אבטחה מסוימים מזהים את רוב סקריפטים אלה של cryptojacking כיישומים שעלולים להיות לא רצויים.