администраторы платформа хостинга кода GitHub, активно расследуют серию атак на свою облачную инфраструктуру., поскольку этот тип атаки позволял хакерам использовать серверы компании для проведения незаконных операций по добыче полезных ископаемых. криптовалют.
И именно в третьем квартале 2020 года эти атаки были основаны на использовании функции GitHub под названием GitHub Actions. который позволяет пользователям запускать задачи автоматически после определенного события из своих репозиториев GitHub.
Чтобы добиться этого, хакеры взяли под контроль законный репозиторий, установив вредоносный код в исходный код на GitHub Actions. а затем сделать запрос на перенос в исходный репозиторий, чтобы объединить измененный код с легитимным кодом.
В рамках атаки на GitHub, исследователи безопасности сообщили, что хакеры могут запустить до 100 майнеров криптовалюты за одну атаку., создавая огромные вычислительные нагрузки на инфраструктуру GitHub. Пока что эти хакеры действуют случайным образом и в больших масштабах.
Исследования показали, что по крайней мере одна учетная запись выполняет сотни запросов на обновление, содержащих вредоносный код. Прямо сейчас злоумышленники, похоже, не нацелены на пользователей GitHub, вместо этого сосредоточившись на использовании облачной инфраструктуры GitHub для размещения операций по майнингу криптовалют.
Голландский инженер по безопасности Джастин Пердок сообщил The Record, что по крайней мере один хакер нацелен на репозитории GitHub, где могут быть включены действия GitHub.
Атака включает в себя разветвление легитимного репозитория, добавление вредоносных действий GitHub к исходному коду, а затем отправку запроса на вытягивание с исходным репозиторием для слияния кода с оригиналом.
О первом случае этой атаки сообщил инженер-программист во Франции в ноябре 2020 года. Как и его реакция на первый инцидент, GitHub заявил, что он активно расследует недавнюю атаку. Однако GitHub, похоже, приходит и уходит в ходе атак, поскольку хакеры просто создают новые учетные записи, как только зараженные учетные записи обнаруживаются и отключаются компанией.
В ноябре прошлого года группа экспертов по ИТ-безопасности Google, которой было поручено найти уязвимости нулевого дня, выявила брешь в системе безопасности в платформе GitHub. По словам Феликса Вильгельма, члена команды Project Zero, обнаружившего его, уязвимость также повлияла на функциональность GitHub Actions, инструмента для автоматизации работы разработчиков. Это связано с тем, что команды рабочего процесса Действия "уязвимы для атак путем внедрения":
Github Actions поддерживает функцию, называемую командами рабочего процесса. как канал связи между брокером действий и выполняемым действием. Команды рабочего процесса реализованы в runner / src / Runner.Worker / ActionCommandManager.cs и работают, анализируя STDOUT всех действий, выполненных для одного из двух маркеров команд.
Действия GitHub доступны в учетных записях GitHub Free, GitHub Pro, GitHub Free для организаций, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One и GitHub AE. Действия GitHub недоступны для частных репозиториев, принадлежащих учетным записям, использующим старые планы.
Активность майнинга криптовалюты обычно скрыта или выполняется в фоновом режиме без согласия администратора или пользователя. Существует два типа вредоносного майнинга криптовалют:
- Двоичный режим: это вредоносные приложения, загружаемые и устанавливаемые на целевое устройство с целью добычи криптовалют. Некоторые решения безопасности идентифицируют большинство этих приложений как троянские программы.
- Режим браузера - это вредоносный код JavaScript, встроенный в веб-страницу (или некоторые ее компоненты или объекты), предназначенный для извлечения криптовалюты из браузеров посетителей сайта. Этот метод, называемый криптоджекингом, становится все более популярным среди киберпреступников с середины 2017 г. Некоторые решения безопасности обнаруживают большинство этих скриптов криптоджекинга как потенциально нежелательные приложения.