L administratori ai platforma de găzduire a codului GitHub investighează activ o serie de atacuri asupra infrastructurii lor cloud, deoarece acest tip de atac le-a permis hackerilor să folosească serverele companiei pentru a efectua operațiuni miniere ilicite a criptomonedelor.
Și, în al treilea trimestru al anului 2020, acestea sunt atacurile s-au bazat pe utilizarea unei funcții GitHub numită GitHub Actions care permite utilizatorilor să înceapă sarcini automat după un anumit eveniment din depozitele lor GitHub.
Pentru a realiza acest exploit, hackerii au preluat controlul unui depozit legitim prin instalarea unui cod rău intenționat în codul original pe GitHub Actions și apoi faceți o cerere de extragere împotriva depozitului original pentru a îmbina codul modificat cu codul legitim.
Ca parte a atacului asupra GitHub, cercetătorii de securitate au raportat că hackerii ar putea alerga până la 100 de mineri de criptomonede într-un singur atac, creând sarcini computaționale uriașe pe infrastructura GitHub. Până în prezent, acești hackeri par să funcționeze aleatoriu și la scară largă.
Cercetările au arătat că cel puțin un cont execută sute de solicitări de actualizare care conțin cod rău intenționat. În acest moment, atacatorii nu par să vizeze în mod activ utilizatorii GitHub, concentrându-se în schimb pe utilizarea infrastructurii cloud GitHub pentru a găzdui activități de minare criptografică.
Inginerul de securitate olandez Justin Perdok a declarat pentru The Record că cel puțin un hacker vizează depozitele GitHub unde acțiunile GitHub ar putea fi activate.
Atacul implică falsificarea unui depozit legitim, adăugarea de acțiuni GitHub rău intenționate la codul original și apoi trimiterea unei cereri de extragere cu depozitul original pentru a îmbina codul cu originalul.
Primul caz al acestui atac a fost raportat de un inginer de software în Franța în noiembrie 2020. La fel ca reacția sa la primul incident, GitHub a declarat că investighează activ atacul recent. Cu toate acestea, GitHub pare să vină și să plece în atacuri, deoarece hackerii creează pur și simplu conturi noi odată ce conturile infectate sunt detectate și dezactivate de companie.
În noiembrie anul trecut, o echipă de experți în securitate IT Google însărcinată să găsească vulnerabilități de 0 zile a expus un defect de securitate în platforma GitHub. Potrivit lui Felix Wilhelm, membru al echipei Project Zero care l-a descoperit, defectul a afectat și funcționalitatea GitHub Actions, un instrument pentru automatizarea muncii dezvoltatorilor. Acest lucru se datorează faptului că comenzile fluxului de lucru Actions sunt „vulnerabile la atacurile de injecție”:
Github Actions acceptă o caracteristică numită comenzi de flux de lucru ca un canal de comunicare între brokerul de acțiune și acțiunea care se desfășoară. Comenzile fluxului de lucru sunt implementate în runner / src / Runner.Worker / ActionCommandManager.cs și funcționează prin analizarea STDOUT a tuturor acțiunilor efectuate pentru unul dintre cei doi markeri de comandă.
GitHub Actions este disponibil pe conturile GitHub Free, GitHub Pro, GitHub Free pentru organizații, echipa GitHub, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One și GitHub AE. GitHub Actions nu este disponibil pentru depozitele private deținute de conturi care utilizează planuri mai vechi.
Activitatea de extragere a criptomonedelor este de obicei ascunsă sau rulată în fundal fără consimțământul administratorului sau al utilizatorului. Există două tipuri de minerit criptografic rău intenționat:
- Mod binar: sunt aplicații rău intenționate descărcate și instalate pe dispozitivul țintă cu scopul de a extrage criptomonede. Unele soluții de securitate identifică majoritatea acestor aplicații drept troieni.
- Modul browser - Acesta este un cod JavaScript rău intenționat încorporat într-o pagină web (sau în unele componente sau obiecte ale acesteia), concepută pentru a extrage criptomonedele din browserele vizitatorilor site-ului. Această metodă numită cryptojacking a fost din ce în ce mai populară în rândul criminalilor cibernetici de la mijlocul anului 2017. Unele soluții de securitate detectează majoritatea acestor scripturi de cryptojacking ca aplicații potențial nedorite.