롯 관리자 코드 호스팅 플랫폼 GitHub는 클라우드 인프라에 대한 일련의 공격을 적극적으로 조사하고 있습니다., 이러한 유형의 공격을 통해 해커가 회사 서버를 사용하여 불법 채굴 작업을 수행 할 수 있었기 때문에 암호 화폐의.
그리고 2020 년 XNUMX 분기 동안 공격은 GitHub Actions라는 GitHub 기능을 사용하는 것을 기반으로했습니다. 사용자가 GitHub 저장소에서 특정 이벤트가 발생한 후 자동으로 작업을 시작할 수 있습니다.
이 악용을 달성하려면 해커가 GitHub Actions의 원본 코드에 악성 코드를 설치하여 합법적 인 저장소를 제어했습니다. 그런 다음 원래 리포지토리에 대해 풀 요청을 만들어 수정 된 코드를 합법적 인 코드와 병합합니다.
GitHub에 대한 공격의 일환으로 보안 연구원은 해커가 한 번의 공격으로 최대 100 개의 암호 화폐 채굴자를 실행할 수 있다고보고했습니다., GitHub 인프라에 엄청난 계산 부하를 생성합니다. 지금까지 이러한 해커는 무작위로 대규모로 작동하는 것으로 보입니다.
연구에 따르면 적어도 하나의 계정이 악성 코드가 포함 된 수백 건의 업데이트 요청을 실행하는 것으로 나타났습니다. 현재 공격자들은 GitHub 사용자를 적극적으로 표적으로 삼고있는 것으로 보이지 않고 대신 GitHub의 클라우드 인프라를 사용하여 암호화 마이닝 활동을 호스팅하는 데 집중하고 있습니다.
네덜란드 보안 엔지니어 Justin Perdok은 The Record에 최소 한 명의 해커가 GitHub 작업이 활성화 될 수있는 GitHub 저장소를 표적으로 삼고 있다고 말했습니다.
이 공격에는 합법적 인 저장소를 분기하고, 악성 GitHub 작업을 원본 코드에 추가 한 다음 원본 저장소와 함께 풀 요청을 제출하여 코드를 원본과 병합합니다.
이 공격의 첫 번째 사례는 2020 년 XNUMX 월 프랑스의 한 소프트웨어 엔지니어에 의해보고되었습니다. 첫 번째 사건에 대한 반응과 마찬가지로 GitHub는 최근 공격을 적극적으로 조사하고 있다고 밝혔다. 그러나 GitHub는 감염된 계정이 회사에 의해 탐지되고 비활성화되면 해커가 단순히 새 계정을 생성하기 때문에 공격에 들어갔다가는 것처럼 보입니다.
작년 0 월, XNUMX 일 취약점을 찾는 작업을 맡은 Google IT 보안 전문가 팀이 GitHub 플랫폼의 보안 결함을 발견했습니다. 이를 발견 한 Project Zero 팀원 인 Felix Wilhelm에 따르면이 결함은 개발자 작업 자동화 도구 인 GitHub Actions의 기능에도 영향을 미쳤습니다. 이는 Actions 워크 플로우 명령이 "주입 공격에 취약"하기 때문입니다.
Github Actions는 워크 플로우 명령이라는 기능을 지원합니다. 액션 브로커와 수행중인 액션 간의 통신 채널로 사용됩니다. 워크 플로 명령은 runner / src / Runner.Worker / ActionCommandManager.cs에서 구현되며 두 명령 마커 중 하나에 대해 수행 된 모든 작업의 STDOUT을 구문 분석하여 작동합니다.
GitHub Actions는 GitHub Free, GitHub Pro, GitHub Free for Organizations, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One 및 GitHub AE 계정에서 사용할 수 있습니다. GitHub Actions는 이전 플랜을 사용하는 계정이 소유 한 프라이빗 리포지토리에는 사용할 수 없습니다.
암호 화폐 채굴 활동은 일반적으로 관리자 또는 사용자 동의없이 숨겨 지거나 백그라운드에서 실행됩니다. 악성 암호화 마이닝에는 두 가지 유형이 있습니다.
- 바이너리 모드 : 암호 화폐 채굴을 목적으로 대상 장치에 다운로드 및 설치되는 악성 애플리케이션입니다. 일부 보안 솔루션은 이러한 응용 프로그램의 대부분을 트로이 목마로 식별합니다.
- 브라우저 모드-사이트 방문자의 브라우저에서 암호 화폐를 채굴하도록 설계된 웹 페이지 (또는 일부 구성 요소 또는 개체)에 포함 된 악성 JavaScript 코드입니다. 크립토 재킹이라고하는이 방법은 2017 년 중반부터 사이버 범죄자들에게 점점 더 인기를 얻고 있습니다. 일부 보안 솔루션은 이러한 크립토 재킹 스크립트 대부분을 잠재적으로 원치 않는 애플리케이션으로 탐지합니다.