たくさん の管理者 コードホスティングプラットフォーム GitHubは、クラウドインフラストラクチャに対する一連の攻撃を積極的に調査しています、このタイプの攻撃により、ハッカーは会社のサーバーを使用して不正なマイニング操作を実行することができたためです。 暗号通貨の。
そしてそれは2020年の第XNUMX四半期中に、これら 攻撃は、GitHubアクションと呼ばれるGitHub機能の利用に基づいていました これにより、ユーザーはGitHubリポジトリから特定のイベントの後にタスクを自動的に開始できます。
このエクスプロイトを実現するには、 ハッカーは、GitHub Actionsの元のコードに悪意のあるコードをインストールすることで、正当なリポジトリを制御しました。 次に、元のリポジトリに対してプルリクエストを実行して、変更されたコードを正当なコードとマージします。
GitHubへの攻撃の一環として、 セキュリティ研究者は、ハッカーが100回の攻撃で最大XNUMX人の暗号通貨マイナーを実行できると報告しました、GitHubインフラストラクチャに膨大な計算負荷をかけます。 これまでのところ、これらのハッカーはランダムかつ大規模に動作しているように見えます。
調査によると、少なくともXNUMXつのアカウントが、悪意のあるコードを含む何百もの更新要求を実行しています。 現在、攻撃者はGitHubユーザーを積極的に標的にしていないようで、代わりにGitHubのクラウドインフラストラクチャを使用して暗号マイニングアクティビティをホストすることに焦点を当てています。
オランダのセキュリティエンジニアであるジャスティン・ペルドック氏は、少なくともXNUMX人のハッカーがGitHubアクションを有効にできるGitHubリポジトリを標的にしているとTheRecordに語った。
攻撃には、正当なリポジトリをフォークし、悪意のあるGitHubアクションを元のコードに追加してから、元のリポジトリでプルリクエストを送信して、コードを元のコードとマージすることが含まれます。
この攻撃の最初のケースは、2020年XNUMX月にフランスのソフトウェアエンジニアによって報告されました。最初のインシデントへの反応と同様に、GitHubは最近の攻撃を積極的に調査していると述べました。 ただし、ハッカーは、感染したアカウントが会社によって検出されて無効にされると、新しいアカウントを作成するだけなので、GitHubは攻撃に出入りするようです。
昨年0月、ゼロデイ脆弱性の発見を任務とするGoogle ITセキュリティ専門家のチームが、GitHubプラットフォームのセキュリティ上の欠陥を明らかにしました。 それを発見したProjectZeroチームメンバーのFelixWilhelmによると、この欠陥は、開発者の作業を自動化するためのツールであるGitHubActionsの機能にも影響を及ぼしました。 これは、アクションワークフローコマンドが「インジェクション攻撃に対して脆弱」であるためです。
Github Actionsは、ワークフローコマンドと呼ばれる機能をサポートしています アクションブローカーと実行中のアクションの間の通信チャネルとして。 ワークフローコマンドは、runner / src / Runner.Worker / ActionCommandManager.csに実装され、XNUMXつのコマンドマーカーのいずれかに対して実行されたすべてのアクションのSTDOUTを解析することによって機能します。
GitHub Actionsは、GitHub Free、GitHub Pro、GitHub Free for Organizations、GitHub Team、GitHub Enterprise Cloud、GitHub Enterprise Server、GitHub One、GitHubAEアカウントで利用できます。 GitHub Actionsは、古いプランを使用しているアカウントが所有するプライベートリポジトリでは利用できません。
暗号通貨マイニングアクティビティは通常、管理者またはユーザーの同意なしに非表示にされるか、バックグラウンドで実行されます。 悪意のある暗号マイニングにはXNUMXつのタイプがあります。
- バイナリモード:暗号通貨をマイニングする目的でターゲットデバイスにダウンロードおよびインストールされる悪意のあるアプリケーションです。 一部のセキュリティソリューションは、これらのアプリケーションのほとんどをトロイの木馬として識別します。
- ブラウザモード-これは、Webページ(またはそのコンポーネントやオブジェクトの一部)に埋め込まれた悪意のあるJavaScriptコードであり、サイト訪問者のブラウザから暗号通貨をマイニングするように設計されています。 クリプトジャッキングと呼ばれるこの方法は、2017年半ば以降、サイバー犯罪者の間でますます人気が高まっています。一部のセキュリティソリューションは、これらのクリプトジャッキングスクリプトのほとんどを望ましくない可能性のあるアプリケーションとして検出します。