Хакери су користили ГитХуб сервере за рударство крипто валута

ГитХуб лого

Л администратори платформа за хостинг кода ГитХуб активно истражују серију напада на њихову облачну инфраструктуру, будући да је ова врста напада омогућила хакерима да користе сервере компаније за обављање илегалних рударских операција криптовалута. 

И то је да су током трећег квартала 2020. ове напади су се заснивали на коришћењу ГитХуб функције под називом ГитХуб Ацтионс што омогућава корисницима да аутоматски покрећу задатке након одређеног догађаја из својих ГитХуб спремишта.

Да би се постигао овај подвиг, хакери су преузели контролу над легитимним спремиштем инсталирањем злонамерног кода у оригинални код на ГитХуб Ацтионс а затим упутите захтев за повлачење према оригиналном спремишту за спајање модификованог кода са легитимним кодом.

Као део напада на ГитХуб, сигурносни истраживачи известили су да би хакери могли покренути до 100 рудара крипто валута у једном нападу, стварајући огромна рачунарска оптерећења на ГитХуб инфраструктури. До сада изгледа да ови хакери раде насумично и у великом обиму.

Истраживање је открило да најмање један налог извршава стотине захтева за ажурирање који садрже злонамерни код. Тренутно се чини да нападачи активно не циљају кориснике ГитХуб-а, већ се фокусирају на коришћење ГитХуб-ове облачне инфраструктуре за хостовање активности криптокопавања.

Холандски инжењер безбедности Јустин Пердок рекао је за Тхе Рецорд да најмање један хакер циља ГитХуб спремишта где би ГитХуб акције могле бити омогућене.

Напад укључује рачвање легитимног спремишта, додавање злонамерних ГитХуб акција оригиналном коду, а затим подношење захтева за повлачење са оригиналним спремиштем за спајање кода са оригиналним.

Први случај овог напада пријавио је софтверски инжењер у Француској у новембру 2020. Као и реакција на први инцидент, ГитХуб је изјавио да активно истражује недавни напад. Међутим, чини се да ГитХуб долази и одлази у нападима, јер хакери једноставно креирају нове налоге када компанија открије и онемогући заражене налоге.

У новембру прошле године, тим Гооглеових стручњака за ИТ безбедност задужен за проналажење дводневних рањивости открио је сигурносну ману на платформи ГитХуб. Према Фелику Вилхелму, члану тима Пројецт Зеро који га је открио, мана је утицала и на функционалност ГитХуб Ацтионс, алата за аутоматизацију рада програмера. То је зато што су наредбе тока радњи „Ацтион“ рањиве на нападе убризгавањем:

Гитхуб Ацтионс подржава функцију која се назива команде тока посла као комуникациони канал између брокера акције и акције која се спроводи. Наредбе тока посла имплементиране су у руннер / срц / Руннер.Воркер / АцтионЦоммандМанагер.цс и раде рашчлањивањем СТДОУТ свих радњи изведених за један од два маркера команди.

ГитХуб акције су доступне на рачунима ГитХуб Фрее, ГитХуб Про, ГитХуб Фрее фор Организатионс, ГитХуб Теам, ГитХуб Ентерприсе Цлоуд, ГитХуб Ентерприсе Сервер, ГитХуб Оне и ГитХуб АЕ. ГитХуб Ацтионс није доступан за приватна спремишта у власништву налога који користе старије планове.

Активност рударства криптовалута је обично скривена или се покреће у позадини без пристанка администратора или корисника. Постоје две врсте злонамерног криптокопавања:

  • Бинарни режим: то су злонамерне апликације преузете и инсталиране на циљном уређају с циљем рударства крипто валута. Нека сигурносна решења идентификују већину ових апликација као тројанске програме.
  • Режим прегледача - Ово је злонамерни ЈаваСцрипт код уграђен у веб страницу (или неке од његових компоненти или објеката), дизајниран за издвајање крипто валуте из прегледача посетилаца веб локације. Овај метод под називом криптодокрет је све популарнији међу сајбер криминалцима од средине 2017. Нека безбедносна решења откривају већину ових скрипти за криптодокрет као потенцијално нежељене апликације.

Будите први који ће коментарисати

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.