Hakerzy wykorzystali serwery GitHub do wydobywania kryptowalut

Logo GitHub

L administratorzy platforma hostingu kodu GitHub aktywnie badają serię ataków na ich infrastrukturę chmury, ponieważ ten rodzaj ataku umożliwiał hakerom wykorzystywanie serwerów firmy do nielegalnych operacji wydobywczych kryptowalut. 

I to właśnie w trzecim kwartale 2020 roku te ataki opierały się na wykorzystaniu funkcji GitHub o nazwie Akcje GitHub co pozwala użytkownikom na automatyczne uruchamianie zadań po określonym zdarzeniu z ich repozytoriów GitHub.

Aby osiągnąć ten exploit, hakerzy przejęli kontrolę nad legalnym repozytorium, instalując złośliwy kod w oryginalnym kodzie w GitHub Actions a następnie wykonaj żądanie ściągnięcia względem oryginalnego repozytorium, aby scalić zmodyfikowany kod z legalnym kodem.

W ramach ataku na GitHub, Badacze bezpieczeństwa poinformowali, że hakerzy mogą w jednym ataku uruchomić do 100 kopaczy kryptowalut, tworząc ogromne obciążenia obliczeniowe w infrastrukturze GitHub. Jak dotąd wydaje się, że ci hakerzy działają losowo i na dużą skalę.

Badania wykazały, że co najmniej jedno konto wykonuje setki żądań aktualizacji, które zawierają złośliwy kod. W tej chwili osoby atakujące nie wydają się aktywnie atakować użytkowników GitHub, zamiast tego skupiają się na wykorzystaniu infrastruktury chmury GitHub do prowadzenia działalności związanej z kopaniem kryptowalut.

Holenderski inżynier bezpieczeństwa Justin Perdok powiedział The Record, że przynajmniej jeden haker atakuje repozytoria GitHub, w których można włączyć akcje GitHub.

Atak polega na rozwidleniu legalnego repozytorium, dodaniu złośliwych działań GitHub do oryginalnego kodu, a następnie przesłaniu żądania ściągnięcia z oryginalnym repozytorium w celu scalenia kodu z oryginałem.

Pierwszy przypadek tego ataku został zgłoszony przez inżyniera oprogramowania we Francji w listopadzie 2020 roku. Podobnie jak jego reakcja na pierwszy incydent, GitHub stwierdził, że aktywnie bada niedawny atak. Jednak wydaje się, że GitHub pojawia się i znika w atakach, ponieważ hakerzy po prostu tworzą nowe konta, gdy firma wykryje i dezaktywuje zainfekowane konta.

W listopadzie ubiegłego roku zespół ekspertów Google ds. Bezpieczeństwa IT, którego zadaniem było znalezienie luk 0-dniowych, ujawnił lukę w zabezpieczeniach platformy GitHub. Według Felixa Wilhelma, członka zespołu Project Zero, który ją odkrył, wada wpłynęła również na funkcjonalność GitHub Actions, narzędzia do automatyzacji pracy programistów. Dzieje się tak, ponieważ polecenia przepływu pracy akcji są „podatne na ataki polegające na wstrzykiwaniu”:

Akcje Github obsługują funkcję zwaną poleceniami przepływu pracy jako kanał komunikacji między brokerem akcji a akcją, która jest wykonywana. Polecenia przepływu pracy są zaimplementowane w runner / src / Runner.Worker / ActionCommandManager.cs i działają poprzez analizę STDOUT wszystkich akcji wykonanych dla jednego z dwóch znaczników poleceń.

Akcje GitHub są dostępne na kontach GitHub Free, GitHub Pro, GitHub Free dla organizacji, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One i GitHub AE. Akcje GitHub nie są dostępne dla prywatnych repozytoriów należących do kont korzystających ze starszych planów.

Działalność związana z wydobywaniem kryptowalut jest zwykle ukryta lub wykonywana w tle bez zgody administratora lub użytkownika. Istnieją dwa rodzaje złośliwego wydobywania kryptowalut:

  • Tryb binarny: są to złośliwe aplikacje pobierane i instalowane na urządzeniu docelowym w celu wydobywania kryptowalut. Niektóre rozwiązania zabezpieczające identyfikują większość tych aplikacji jako konie trojańskie.
  • Tryb przeglądarki - jest to złośliwy kod JavaScript osadzony na stronie internetowej (lub w niektórych jej składnikach lub obiektach), mający na celu wyodrębnienie kryptowaluty z przeglądarek odwiedzających witrynę. Ta metoda zwana cryptojacking jest coraz bardziej popularna wśród cyberprzestępców od połowy 2017 r. Niektóre rozwiązania zabezpieczające wykrywają większość tych skryptów cryptojackingu jako potencjalnie niechciane aplikacje.

Bądź pierwszym który skomentuje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.