mycket administratörer av kodhotellplattformen GitHub undersöker aktivt en serie attacker mot deras molninfrastruktur, eftersom denna typ av attack gjorde det möjligt för hackare att använda företagets servrar för att utföra olaglig gruvdrift av kryptovalutor.
Och det är det under tredje kvartalet 2020, dessa attackerna baserades på att använda en GitHub-funktion som heter GitHub Actions vilket gör att användare kan starta uppgifter automatiskt efter en viss händelse från sina GitHub-förråd.
För att uppnå detta utnyttjande, hackare tog kontroll över ett legitimt arkiv genom att installera skadlig kod i den ursprungliga koden på GitHub Actions och gör sedan en pull-begäran mot originalförvaret för att slå samman den modifierade koden med den legitima koden.
Som en del av attacken mot GitHub, säkerhetsforskare rapporterade att hackare kunde springa upp till 100 gruvarbetare i kryptovaluta i en enda attackskapar enorma beräkningsbelastningar på GitHub-infrastrukturen. Hittills verkar dessa hackare fungera slumpmässigt och i stor skala.
Forskning har visat att minst ett konto kör hundratals uppdateringsförfrågningar som innehåller skadlig kod. Just nu verkar inte angriparna vara aktivt inriktade på GitHub-användare, utan fokuserar istället på att använda GitHubs molninfrastruktur för att vara värd för kryptogruvsaktivitet.
Den holländska säkerhetsingenjören Justin Perdok berättade för The Record att minst en hackare riktar sig mot GitHub-förvar där GitHub-åtgärder kan aktiveras.
Attacken innebär att ett legitimt förråd lagras, att skadliga GitHub-åtgärder läggs till i den ursprungliga koden och sedan skickar en pull-begäran med originalförvaret för att slå samman koden med originalet.
Det första fallet av denna attack rapporterades av en programvarutekniker i Frankrike i november 2020. Liksom dess reaktion på den första händelsen uppgav GitHub att den aktivt undersöker den senaste attacken. Men GitHub verkar komma och gå i attackerna, eftersom hackare helt enkelt skapar nya konton när de infekterade kontona upptäcks och inaktiveras av företaget.
I november förra året avslöjade ett team av Googles IT-säkerhetsexperter som hade till uppgift att hitta 0-dagars sårbarheter ett säkerhetsfel i GitHub-plattformen. Enligt Felix Wilhelm, Team Zero-teammedlem som upptäckte det, påverkade bristen också funktionaliteten hos GitHub Actions, ett verktyg för att automatisera utvecklarnas arbete. Detta beror på att arbetsflödeskommandon för åtgärder är "sårbara för injektionsattacker":
Github Actions stöder en funktion som kallas arbetsflödeskommandon som en kommunikationskanal mellan Action-mäklaren och den åtgärd som genomförs. Arbetsflödeskommandon implementeras i runner / src / Runner.Worker / ActionCommandManager.cs och fungerar genom att analysera STDOUT av alla åtgärder som utförs för en av de två kommandomarkörerna.
GitHub Actions finns på GitHub Free, GitHub Pro, GitHub Free för organisationer, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One och GitHub AE-konton. GitHub Actions är inte tillgängligt för privata arkiv som ägs av konton som använder äldre planer.
Gruvaktivitet för kryptovaluta är vanligtvis dold eller körs i bakgrunden utan administratörs eller användarens samtycke. Det finns två typer av skadlig kryptobrytning:
- Binärt läge: de är skadliga applikationer som laddas ner och installeras på målenheten i syfte att bryta kryptovalutor. Vissa säkerhetslösningar identifierar de flesta av dessa applikationer som trojaner.
- Webbläsarläge - Detta är skadlig JavaScript-kod inbäddad i en webbsida (eller några av dess komponenter eller objekt), utformad för att extrahera kryptovaluta från webbplatsbesökarnas webbläsare. Denna metod som kallas cryptojacking har blivit allt populärare bland cyberbrottslingar sedan mitten av 2017. Vissa säkerhetslösningar upptäcker de flesta av dessa cryptojacking-skript som potentiellt oönskade applikationer.