Los administratoriai kodo prieglobos platforma „GitHub“ aktyviai tiria daugybę atakų prieš savo debesų infrastruktūrą, nes tokio tipo išpuoliai leido įsilaužėliams naudoti įmonės serverius neteisėtoms kasybos operacijoms vykdyti kriptovaliutų.
Ir tai yra tai, kad per trečiąjį 2020 m. Ketvirtį šie atakos buvo pagrįstos „GitHub“ funkcijos, vadinamos „GitHub Actions“, naudojimu kuris leidžia vartotojams automatiškai pradėti užduotis po tam tikro įvykio iš savo „GitHub“ saugyklų.
Norėdami pasiekti šį išnaudojimą, įsilaužėliai perėmė teisėtos saugyklos kontrolę, pradiniame „GitHub Actions“ kode įdiegdami kenkėjišką kodą tada pateikite pradinės talpyklos užklausą, kad pakeistą kodą sujungtumėte su teisėtu kodu.
Kaip atakos prieš „GitHub“ dalį, saugumo tyrėjai pranešė, kad įsilaužėliai per vieną išpuolį gali paleisti iki 100 kriptovaliutų kasėjų, sukurdamas didžiules skaičiavimo apkrovas „GitHub“ infrastruktūrai. Kol kas atrodo, kad šie įsilaužėliai veikia atsitiktinai ir dideliu mastu.
Tyrimai atskleidė, kad bent viena paskyra vykdo šimtus atnaujinimo užklausų, kuriose yra kenksmingo kodo. Šiuo metu neatrodo, kad užpuolikai aktyviai taikosi į „GitHub“ vartotojus, o daugiausia dėmesio skiria „GitHub“ debesų infrastruktūros naudojimui kriptografinės kasybos veiklai vykdyti.
Olandijos saugumo inžinierius Justinas Perdokas leidiniui „The Record“ teigė, kad bent vienas įsilaužėlis taiko „GitHub“ saugyklas, kuriose galėtų būti įgalinti „GitHub“ veiksmai.
Ataka apima teisėtą saugyklą, pridėjus kenksmingų „GitHub“ veiksmų prie pirminio kodo, tada pateikiant traukimo užklausą su originalia saugykla, kad kodas būtų sujungtas su originalu.
Apie pirmąjį šios atakos atvejį programinės įrangos inžinierius pranešė Prancūzijoje 2020 m. Lapkričio mėn. Kaip ir jo reakcija į pirmąjį incidentą, „GitHub“ pareiškė aktyviai tirianti pastarąjį išpuolį. Tačiau atrodo, kad „GitHub“ ataka ir ataka vyksta, nes įsilaužėliai tiesiog sukuria naujas paskyras, kai įmonė aptinka ir išjungia užkrėstas paskyras.
Praėjusių metų lapkritį „Google“ IT saugumo ekspertų komanda, kuriai pavesta rasti 0 dienų pažeidžiamumą, atskleidė „GitHub“ platformos saugos trūkumą. Pasak jį atradusio „Project Zero“ komandos nario Felikso Wilhelmo, trūkumas paveikė ir „GitHub Actions“ - įrankį, skirtą kūrėjų darbui automatizuoti. Taip yra todėl, kad „Actions“ darbo eigos komandos yra „pažeidžiamos injekcijos atakų“:
„Github Actions“ palaiko funkciją, vadinamą darbo eigos komandomis kaip komunikacijos kanalas tarp „Action“ brokerio ir vykdomo veiksmo. Darbo eigos komandos įgyvendinamos „runner / src“ / „Runner.Worker“ / „ActionCommandManager.cs“ ir veikia analizuojant STDOUT visus veiksmus, atliktus viename iš dviejų komandų žymeklių.
„GitHub Actions“ galima „GitHub Free“, „GitHub Pro“, „GitHub Free for Organizations“, „GitHub Team“, „GitHub Enterprise Cloud“, „GitHub Enterprise Server“, „GitHub One“ ir „GitHub AE“ paskyrose. „GitHub“ veiksmai nepasiekiami privačiose saugyklose, priklausančiose paskyroms, naudojantiems senus planus.
Kriptovaliutų kasybos veikla paprastai yra paslėpta arba vykdoma fone be administratoriaus ar vartotojo sutikimo. Yra dviejų rūšių kenkėjiškos kriptografijos kasybos:
- Dvejetainis režimas: tai kenkėjiškos programos, atsisiųstos ir įdiegtos tiksliniame įrenginyje, siekiant išgauti kriptovaliutas. Kai kurie saugos sprendimai daugumą šių programų identifikuoja kaip Trojos arklius.
- Naršyklės režimas - tai kenkėjiškas „JavaScript“ kodas, įterptas į tinklalapį (arba kai kuriuos jo komponentus ar objektus), skirtas kriptovaliutai išgauti iš svetainės lankytojų naršyklių. Šis metodas, vadinamas „cryptojacking“, vis labiau populiarėja tarp kibernetinių nusikaltėlių nuo 2017 m. Vidurio. Kai kurie saugos sprendimai daugumą šių kriptojackingo scenarijų aptinka kaip potencialiai nepageidaujamas programas.