Jardines de Viveros yöneticileri kod barındırma platformu GitHub, bulut altyapılarına yönelik bir dizi saldırıyı aktif olarak araştırıyor, bu tür saldırılar bilgisayar korsanlarının yasadışı madencilik işlemleri gerçekleştirmek için şirketin sunucularını kullanmasına izin verdi kripto para birimleri.
Ve 2020'nin üçüncü çeyreğinde bunlar saldırılar GitHub Eylemleri adı verilen bir GitHub özelliğinden yararlanmaya dayanıyordu Bu, kullanıcıların GitHub depolarından belirli bir olaydan sonra görevleri otomatik olarak başlatmasına olanak tanır.
Bu istismarı başarmak için, Bilgisayar korsanları, GitHub Eylemlerinde orijinal koda kötü amaçlı kod yükleyerek meşru bir havuzun kontrolünü ele geçirdi ve sonra değiştirilen kodu yasal kodla birleştirmek için orijinal depoya karşı bir çekme talebinde bulunun.
GitHub'a yapılan saldırının bir parçası olarak, güvenlik araştırmacıları, bilgisayar korsanlarının tek bir saldırıda 100 kripto para madencisini çalıştırabileceğini bildirdi., GitHub altyapısında büyük hesaplama yükleri yaratır. Şimdiye kadar, bu bilgisayar korsanları rastgele ve büyük ölçekte çalışıyor gibi görünüyor.
Araştırmalar, en az bir hesabın kötü amaçlı kod içeren yüzlerce güncelleme isteğini yürüttüğünü ortaya çıkarmıştır. Şu anda saldırganlar, GitHub kullanıcılarını aktif olarak hedef alıyor gibi görünmüyor, bunun yerine kripto madenciliği faaliyetlerini barındırmak için GitHub'ın bulut altyapısını kullanmaya odaklanıyor.
Hollandalı güvenlik mühendisi Justin Perdok, The Record'a verdiği demeçte, en az bir hacker'ın GitHub eylemlerinin etkinleştirilebileceği GitHub depolarını hedeflediğini söyledi.
Saldırı, meşru bir depoyu çatallamayı, orijinal koda kötü niyetli GitHub eylemleri eklemeyi ve ardından kodu orijinalle birleştirmek için orijinal depoyla bir çekme isteği göndermeyi içerir.
Bu saldırının ilk vakası, Kasım 2020'de Fransa'da bir yazılım mühendisi tarafından bildirildi. İlk olaya verdiği tepki gibi GitHub, son saldırıyı aktif olarak araştırdığını belirtti. Ancak, bilgisayar korsanları, virüs bulaşmış hesaplar şirket tarafından tespit edilip devre dışı bırakıldıktan sonra yeni hesaplar oluşturduğundan, GitHub saldırılara girip çıkıyor gibi görünüyor.
Geçen yıl Kasım ayında, 0 günlük güvenlik açıklarını bulmakla görevli bir Google BT güvenlik uzmanları ekibi GitHub platformundaki bir güvenlik açığını ortaya çıkardı. Bunu keşfeden Project Zero ekip üyesi Felix Wilhelm'e göre, kusur, geliştiricilerin çalışmalarını otomatikleştiren bir araç olan GitHub Eylemlerinin işlevselliğini de etkiledi. Bunun nedeni, Eylemler iş akışı komutlarının "enjeksiyon saldırılarına karşı savunmasız" olmasıdır:
Github Actions, iş akışı komutları adı verilen bir özelliği destekler Eylem aracısı ile gerçekleştirilmekte olan eylem arasında bir iletişim kanalı olarak. İş akışı komutları runner / src / Runner.Worker / ActionCommandManager.cs içinde uygulanır ve iki komut işaretinden biri için gerçekleştirilen tüm eylemlerin STDOUT'u ayrıştırarak çalışır.
GitHub Eylemleri GitHub Free, GitHub Pro, Kuruluşlar için GitHub Free, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One ve GitHub AE hesaplarında mevcuttur. GitHub Eylemleri, eski planları kullanan hesapların sahip olduğu özel havuzlar için kullanılamaz.
Kripto para madenciliği faaliyeti genellikle gizlidir veya yönetici veya kullanıcı izni olmadan arka planda çalıştırılır. İki tür kötü amaçlı kripto madenciliği vardır:
- İkili mod: kripto para madenciliği yapmak amacıyla hedef cihaza indirilen ve yüklenen kötü amaçlı uygulamalardır. Bazı güvenlik çözümleri, bu uygulamaların çoğunu Truva atı olarak tanımlar.
- Tarayıcı modu - Bu, site ziyaretçilerinin tarayıcılarından kripto para birimini çıkarmak için tasarlanmış bir web sayfasına (veya bazı bileşenlerine veya nesnelerine) gömülü kötü amaçlı JavaScript kodudur. Cryptojacking adı verilen bu yöntem, 2017'nin ortalarından beri siber suçlular arasında giderek daha popüler hale geliyor. Bazı güvenlik çözümleri, bu cryptojacking komut dosyalarının çoğunu potansiyel olarak istenmeyen uygulamalar olarak algılıyor.