L administratorët e platforma e pritjes së kodit GitHub, janë duke hetuar në mënyrë aktive një seri sulmesh në infrastrukturën e tyre cloud, pasi që ky lloj sulmi lejoi hakerat të përdorin serverat e kompanisë për të kryer operacione të paligjshme të minierave të kriptovalutave.
Dhe është që gjatë tremujorit të tretë të vitit 2020, këto sulmet ishin të bazuara në përdorimin e një veçorie GitHub të quajtur GitHub Actions i cili lejon përdoruesit të fillojnë detyrat automatikisht pas një ngjarje të caktuar nga depot e tyre GitHub.
Për të arritur këtë shfrytëzim, hakerat morën kontrollin e një depoje të ligjshme duke instaluar një kod të dëmshëm në kodin origjinal në veprimet e GitHub dhe pastaj bëni një kërkesë tërheqjeje kundër depozitës origjinale për të bashkuar kodin e modifikuar me kodin legjitim.
Si pjesë e sulmit në GitHub, studiuesit e sigurisë raportuan se hakerat mund të drejtonin deri në 100 minatorë të kriptomonedhave në një sulm të vetëm, duke krijuar ngarkesa të mëdha llogaritëse në infrastrukturën GitHub. Deri më tani, këta hakerë duket se veprojnë rastësisht dhe në një shkallë të gjerë.
Kërkimet kanë zbuluar se të paktën një llogari ekzekuton qindra kërkesa për azhurnim që përmbajnë kod të dëmshëm. Tani për tani, sulmuesit nuk duket se synojnë në mënyrë aktive përdoruesit e GitHub, përkundrazi përqendrohen në përdorimin e infrastrukturës cloud të GitHub për të pritur aktivitetin e minierave kripto.
Inxhinieri holandez i sigurisë Justin Perdok i tha The Record se të paktën një haker po synon depot e GitHub ku mund të aktivizohen veprimet e GitHub.
Sulmi përfshin krijimin e një depoje legjitime, shtimin e veprimeve me qëllim të keq të GitHub në kodin origjinal dhe më pas dorëzimin e një kërkese tërheqjeje me depon origjinale për të bashkuar kodin me origjinalin.
Rasti i parë i këtij sulmi u raportua nga një inxhinier softueri në Francë në nëntor 2020. Ashtu si reagimi i tij ndaj incidentit të parë, GitHub deklaroi se po heton në mënyrë aktive sulmin e fundit. Sidoqoftë, GitHub duket se vie dhe shkon në sulme, pasi hakerat thjesht krijojnë llogari të reja pasi llogaritjet e infektuara zbulohen dhe çaktivizohen nga kompania.
Në nëntor të vitit të kaluar, një ekip i ekspertëve të sigurisë së Google IT, i ngarkuar me gjetjen e dobësive 0-ditore, zbuloi një të metë të sigurisë në platformën GitHub. Sipas Felix Wilhelm, anëtari i ekipit Project Zero që e zbuloi atë, e meta gjithashtu ndikoi në funksionalitetin e GitHub Actions, një mjet për automatizimin e punës së zhvilluesve. Kjo sepse komandat e rrjedhës së punës Actions janë "të prekshme nga sulmet e injektimit":
Veprimet Github mbështet një veçori të quajtur komandat e rrjedhës së punës si një kanal komunikimi midis ndërmjetësit të veprimit dhe veprimit që po kryhet. Komandat e rrjedhës së punës zbatohen në runner / src / Runner.Worker / ActionCommandManager.cs dhe punojnë duke analizuar STDOUT të të gjitha veprimeve të kryera për një nga dy shënuesit e komandave.
Veprimet e GitHub janë të disponueshme në llogaritë GitHub Free, GitHub Pro, GitHub Free for Organizations, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One dhe GitHub AE. Veprimet e GitHub nuk është në dispozicion për depot private të zotëruara nga llogari që përdorin planet më të vjetra.
Aktiviteti i minierave të kriptomonedhave zakonisht fshihet ose drejtohet në sfond pa pëlqimin e administratorit ose përdoruesit. Ekzistojnë dy lloje të minierave me qëllim të keq të kriptos:
- Modaliteti binar: ato janë aplikacione me qëllim të keq që shkarkohen dhe instalohen në pajisjen e synuar me qëllim të minierave të kriptomonedhave. Disa zgjidhje të sigurisë identifikojnë shumicën e këtyre aplikacioneve si Trojans.
- Modaliteti i shfletuesit - Ky është kodi me qëllim të keq JavaScript i ngulitur në një faqe në internet (ose disa nga përbërësit ose objektet e saj), i krijuar për të nxjerrë kriptomonedhat nga shfletuesit e vizitorëve të faqes. Kjo metodë e quajtur kriptojacking ka qenë gjithnjë e më e popullarizuar tek kriminelët kibernetikë që nga mesi i vitit 2017. Disa zgjidhje të sigurisë zbulojnë shumicën e këtyre skenareve kriptojacking si aplikacione potencialisht të padëshiruara.