P skrbniki platformo za gostovanje kod GitHub aktivno preiskuje vrsto napadov na njihovo oblačno infrastrukturo, saj je ta vrsta napada hekerjem omogočila uporabo strežnikov podjetja za izvajanje nedovoljenih rudarskih operacij kriptovalut.
In to je, da so v tretjem četrtletju leta 2020 te napadi so temeljili na uporabi funkcije GitHub, imenovane GitHub Actions ki uporabnikom omogoča, da samodejno zaženejo naloge po določenem dogodku iz svojih skladišč GitHub.
Da bi to dosegli, hekerji so prevzeli nadzor nad zakonitim skladiščem z namestitvijo zlonamerne kode v prvotno kodo na GitHub Actions in nato podajte zahtevo za vlečenje proti prvotnemu repozitoriju za združitev spremenjene kode z legitimno kodo.
Kot del napada na GitHub, varnostni raziskovalci so poročali, da lahko hekerji v enem napadu zaženejo do 100 rudarjev kriptovalut, ki ustvarjajo velike računske obremenitve na infrastrukturi GitHub. Zaenkrat se zdi, da ti hekerji delujejo naključno in v velikem obsegu.
Raziskave so pokazale, da vsaj en račun izvede na stotine zahtev za posodobitev, ki vsebujejo zlonamerno kodo. Zdi se, da napadalci trenutno ne ciljajo aktivno uporabnike GitHub, temveč se osredotočajo na uporabo GitHubove oblačne infrastrukture za gostovanje dejavnosti kriptokopavanja.
Nizozemski varnostni inženir Justin Perdok je za The Record povedal, da vsaj en heker cilja na skladišča GitHub, kjer bi lahko omogočili dejanja GitHub.
Napad vključuje oblikovanje zakonitega repozitorija, dodajanje zlonamernih dejanj GitHub v prvotno kodo in nato pošiljanje zahteve za vlečenje z originalnim repozitorijem za združitev kode z originalno.
O prvem primeru tega napada je programski inženir v Franciji poročal novembra 2020. Tako kot odziv na prvi incident je tudi GitHub izjavil, da aktivno preiskuje nedavni napad. Vendar se zdi, da GitHub prihaja in gre v napadih, saj hekerji preprosto ustvarijo nove račune, ko podjetje zazna in deaktivira okužene račune.
Novembra lani je skupina Googlovih strokovnjakov za informacijsko varnost, ki je zadolžena za iskanje 0-dnevnih ranljivosti, razkrila varnostno napako na platformi GitHub. Po besedah Felixa Wilhelma, člana ekipe Project Zero, ki jo je odkril, je napaka vplivala tudi na funkcionalnost GitHub Actions, orodja za avtomatizacijo dela razvijalcev. To je zato, ker so ukazi za potek dejanj "ranljivi za napade vbrizgavanja":
Github Actions podpira funkcijo, imenovano ukazi za potek dela kot komunikacijski kanal med posrednikom akcije in akcijo, ki se izvaja. Ukazi za potek dela so implementirani v runner / src / Runner.Worker / ActionCommandManager.cs in delujejo tako, da razčlenijo STDOUT vseh dejanj, izvedenih za enega od obeh markerjev ukazov.
GitHub Actions je na voljo v računih GitHub Free, GitHub Pro, GitHub Free for Organizations, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One in GitHub AE. GitHub Actions ni na voljo za zasebne repozitorije v lasti računov, ki uporabljajo starejše načrte.
Dejavnost rudarjenja kriptovalut je običajno skrita ali se izvaja v ozadju brez privolitve skrbnika ali uporabnika. Obstajata dve vrsti zlonamernega kriptokopavanja:
- Binarni način: gre za zlonamerne aplikacije, ki so prenesene in nameščene na ciljni napravi z namenom rudarjenja kriptovalut. Nekatere varnostne rešitve večino teh aplikacij prepoznajo kot trojanske programe.
- Način brskalnika - to je zlonamerna koda JavaScript, vdelana v spletno stran (ali nekatere njene komponente ali predmete), namenjena pridobivanju kriptovalut iz brskalnikov obiskovalcev spletnega mesta. Ta metoda, imenovana cryptojacking, je med kiber kriminalci vse bolj priljubljena od sredine leta 2017. Nekatere varnostne rešitve večino teh skriptov cryptojacking zaznajo kot potencialno neželene programe.