undefined správcovia platforma na hosťovanie kódu GitHub aktívne vyšetruje sériu útokov na ich cloudovú infraštruktúru, pretože tento typ útoku umožňoval hackerom využívať servery spoločnosti na vykonávanie nezákonných ťažobných operácií kryptomien.
Je to tak, že počas tretieho štvrťroka 2020 tieto útoky boli založené na využití funkcie GitHub s názvom GitHub Actions ktorý umožňuje používateľom automaticky spúšťať úlohy po určitej udalosti z ich úložísk GitHub.
Na dosiahnutie tohto využitia hackeri prevzali kontrolu nad legitímnym úložiskom inštaláciou škodlivého kódu do pôvodného kódu v službe GitHub Actions a potom urobte požiadavku na stiahnutie z pôvodného úložiska, aby ste zlúčili upravený kód s legitímnym kódom.
V rámci útoku na GitHub vedci v oblasti bezpečnosti uviedli, že hackeri môžu pri jednom útoku spustiť až 100 ťažiarov kryptomeny, ktorý vytvára obrovské výpočtové zaťaženie na infraštruktúre GitHub. Zatiaľ sa zdá, že títo hackeri pôsobia náhodne a vo veľkom meradle.
Výskum ukázal, že najmenej jeden účet spracuje stovky požiadaviek na aktualizáciu, ktoré obsahujú škodlivý kód. Momentálne sa zdá, že sa útočníci aktívne nezameriavajú na používateľov GitHubu, ale namiesto toho sa zameriavajú na využitie cloudovej infraštruktúry GitHubu na hosťovanie aktivity ťažby kryptomien.
Holandský bezpečnostný inžinier Justin Perdok pre denník The Record uviedol, že najmenej jeden hacker sa zameriava na úložiská GitHub, kde by bolo možné povoliť akcie GitHubu.
Útok zahŕňa rozdelenie legitímneho úložiska, pridanie škodlivých akcií GitHub k pôvodnému kódu a následné odoslanie žiadosti o stiahnutie z pôvodného úložiska, aby sa kód spojil s pôvodným.
Prvý prípad tohto útoku nahlásil softvérový inžinier vo Francúzsku v novembri 2020. Rovnako ako jeho reakcia na prvý incident, GitHub uviedol, že nedávny útok aktívne vyšetruje. Zdá sa však, že GitHub v útokoch prichádza a odchádza, pretože hackeri jednoducho vytvoria nové účty, akonáhle spoločnosť zistí a zablokuje infikované účty.
V novembri minulého roku odhalil tím odborníkov na bezpečnosť IT spoločnosti Google, ktorý mal za úlohu nájsť 0-denné chyby zabezpečenia, bezpečnostnú chybu v platforme GitHub. Podľa Felixa Wilhelma, člena tímu Project Zero, ktorý to objavil, chyba ovplyvnila aj funkčnosť GitHub Actions, nástroja na automatizáciu práce vývojárov. Je to tak preto, lebo príkazy pracovného toku Action sú „zraniteľné voči injekčným útokom“:
Github Actions podporuje funkciu nazvanú príkazy pracovného toku ako komunikačný kanál medzi maklérom akcie a uskutočňovanou akciou. Príkazy pracovného toku sú implementované v súbore runner / src / Runner.Worker / ActionCommandManager.cs a pracujú analýzou STDOUT všetkých akcií vykonaných pre jeden z dvoch značiek príkazov.
GitHub Actions je k dispozícii na účtoch GitHub Free, GitHub Pro, GitHub Free pre organizácie, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One a GitHub AE. Akcie GitHub nie sú k dispozícii pre súkromné úložiská vlastnené účtami, ktoré používajú staršie plány.
Ťažba kryptomeny sa zvyčajne skrýva alebo sa spúšťa na pozadí bez súhlasu správcu alebo používateľa. Existujú dva typy škodlivej ťažby kryptomien:
- Binárny režim: sú to škodlivé aplikácie stiahnuté a nainštalované v cieľovom zariadení s cieľom ťažiť kryptomeny. Niektoré bezpečnostné riešenia identifikujú väčšinu týchto aplikácií ako trójske kone.
- Režim prehliadača - Jedná sa o škodlivý kód JavaScript vložený do webovej stránky (alebo niektorých jej komponentov alebo objektov) určený na extrakciu kryptomeny z prehľadávačov návštevníkov stránky. Táto metóda s názvom cryptojacking je medzi počítačovými zločincami čoraz obľúbenejšia od polovice roku 2017. Niektoré bezpečnostné riešenia detegujú väčšinu týchto skriptov kryptomeny ako potenciálne nežiaduce aplikácie.