Hackers usaram servidores GitHub para mineração de criptomoedas

Logotipo do GitHub

Os administradores de a plataforma de hospedagem de código O GitHub está investigando ativamente uma série de ataques à infraestrutura em nuvem, já que esse tipo de ataque permitia que hackers usassem os servidores da empresa para realizar operações ilícitas de mineração de criptomoedas. 

E é que durante o terceiro trimestre de 2020, esses ataques foram baseados no uso de um recurso GitHub chamado GitHub Actions que permite aos usuários iniciar tarefas automaticamente após um determinado evento de seus repositórios GitHub.

Para conseguir essa façanha, hackers assumiram o controle de um repositório legítimo instalando código malicioso no código original em Ações GitHub e, em seguida, faça uma solicitação pull no repositório original para mesclar o código modificado com o código legítimo.

Como parte do ataque ao GitHub, pesquisadores de segurança relataram que os hackers podem executar até 100 mineiros de criptomoeda em um único ataque, criando enormes cargas computacionais na infraestrutura do GitHub. Até agora, esses hackers parecem operar de forma aleatória e em grande escala.

A pesquisa revelou que pelo menos uma conta executa centenas de solicitações de atualização que contêm código malicioso. No momento, os invasores não parecem estar alvejando ativamente os usuários do GitHub, em vez disso se concentrando no uso da infraestrutura de nuvem do GitHub para hospedar a atividade de mineração de criptografia.

O engenheiro de segurança holandês Justin Perdok disse ao The Record que pelo menos um hacker tem como alvo os repositórios do GitHub onde as ações do GitHub podem ser habilitadas.

O ataque envolve bifurcar um repositório legítimo, adicionar ações maliciosas do GitHub ao código original e enviar uma solicitação de pull com o repositório original para mesclar o código com o original.

O primeiro caso desse ataque foi relatado por um engenheiro de software na França em novembro de 2020. Como sua reação ao primeiro incidente, o GitHub afirmou que está investigando ativamente o ataque recente. No entanto, o GitHub parece ir e vir nos ataques, já que os hackers simplesmente criam novas contas assim que as contas infectadas são detectadas e desativadas pela empresa.

Em novembro do ano passado, uma equipe de especialistas em segurança de TI do Google com a tarefa de encontrar vulnerabilidades de 0 dia expôs uma falha de segurança na plataforma GitHub. De acordo com Felix Wilhelm, o membro da equipe do Project Zero que o descobriu, a falha também afetou a funcionalidade do GitHub Actions, uma ferramenta para automatizar o trabalho dos desenvolvedores. Isso ocorre porque os comandos de fluxo de trabalho de Ações são "vulneráveis ​​a ataques de injeção":

Ações Github oferece suporte a um recurso chamado comandos de fluxo de trabalho como um canal de comunicação entre o mediador da Action e a ação que está sendo realizada. Os comandos de fluxo de trabalho são implementados em runner / src / Runner.Worker / ActionCommandManager.cs e funcionam analisando STDOUT de todas as ações realizadas para um dos dois marcadores de comando.

O GitHub Actions está disponível nas contas GitHub Free, GitHub Pro, GitHub Free for Organizations, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One e GitHub AE. O GitHub Actions não está disponível para repositórios privados pertencentes a contas que usam planos mais antigos.

A atividade de mineração de criptomoedas geralmente fica oculta ou é executada em segundo plano sem o consentimento do administrador ou do usuário. Existem dois tipos de mineração de criptografia maliciosa:

  • Modo binário: são aplicativos maliciosos baixados e instalados no dispositivo de destino com o objetivo de minerar criptomoedas. Algumas soluções de segurança identificam a maioria desses aplicativos como cavalos de Tróia.
  • Modo de navegador - Este é um código JavaScript malicioso incorporado em uma página da web (ou alguns de seus componentes ou objetos), projetado para extrair criptomoedas dos navegadores dos visitantes do site. Este método denominado cryptojacking tem se tornado cada vez mais popular entre os cibercriminosos desde meados de 2017. Algumas soluções de segurança detectam a maioria desses scripts de cryptojacking como aplicativos potencialmente indesejados.

Seja o primeiro a comentar

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.