L адміністратори платформа хостингу коду GitHub активно розслідує низку атак на їхню хмарну інфраструктуру, оскільки такий тип атак дозволив хакерам використовувати сервери компанії для здійснення незаконних майнінг-операцій криптовалют.
І це те, що протягом третього кварталу 2020 року ці атаки базувалися на використанні функції GitHub під назвою GitHub Actions що дозволяє користувачам автоматично запускати завдання після певної події зі своїх сховищ GitHub.
Щоб досягти цього подвигу, хакери взяли під контроль законний репозиторій, встановивши шкідливий код у вихідний код на GitHub Actions а потім зробіть запит на витяг проти вихідного сховища, щоб об’єднати модифікований код із законним кодом.
В рамках атаки на GitHub, дослідники безпеки повідомили, що хакери можуть запустити до 100 майнерів криптовалюти за одну атаку, створюючи величезні обчислювальні навантаження на інфраструктуру GitHub. Поки що ці хакери, як видається, працюють у випадковому порядку та у великих масштабах.
Дослідження показали, що принаймні один обліковий запис виконує сотні запитів на оновлення, які містять шкідливий код. Зараз, схоже, зловмисники не націлюються активно на користувачів GitHub, а натомість зосереджуються на використанні хмарної інфраструктури GitHub для розміщення криптовалютної діяльності.
Голландський інженер з безпеки Джастін Пердок повідомив The Record, що принаймні один хакер націлений на сховища GitHub, де можуть бути активовані дії GitHub.
Атака передбачає розгалуження законного сховища, додавання шкідливих дій GitHub до вихідного коду, а потім подання запиту на витяг з оригінальним сховищем для злиття коду з оригіналом.
Про перший випадок цієї атаки повідомив інженер-програміст у Франції у листопаді 2020 року. Як і реакція на перший інцидент, GitHub заявив, що активно розслідує недавню атаку. Однак, схоже, GitHub приходить і йде в атаках, оскільки хакери просто створюють нові облікові записи, коли компанія виявляє та відключає заражені облікові записи.
У листопаді минулого року команда експертів з ІТ-безпеки Google, якій було доручено знайти 0-денні вразливості, виявила недолік безпеки на платформі GitHub. За словами Фелікса Вільгельма, члена команди Project Zero, який його виявив, недолік також вплинув на функціональність GitHub Actions, інструменту для автоматизації роботи розробників. Це тому, що команди робочого циклу дій "вразливі до атак введення":
Github Actions підтримує функцію, яка називається командами робочого циклу як канал зв'язку між Брокером дій та дією, що здійснюється. Команди робочого циклу реалізовані в runner / src / Runner.Worker / ActionCommandManager.cs і працюють шляхом синтаксичного аналізу STDOUT усіх дій, виконаних для одного з двох маркерів команд.
Дії GitHub доступні в облікових записах GitHub Free, GitHub Pro, GitHub Free для організацій, GitHub Team, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One та GitHub AE. Дії GitHub недоступні для приватних сховищ, що належать обліковим записам, які використовують старіші плани.
Діяльність видобутку криптовалют зазвичай прихована або виконується у фоновому режимі без згоди адміністратора або користувача. Існує два типи зловмисного криптовидобутку:
- Бінарний режим: це шкідливі програми, завантажені та встановлені на цільовому пристрої з метою видобутку криптовалют. Деякі рішення безпеки визначають більшість із цих програм як троянські програми.
- Режим браузера - це шкідливий код JavaScript, вбудований у веб-сторінку (або деякі її компоненти або об’єкти), призначений для видобутку криптовалют із браузерів відвідувачів сайту. Цей метод, який називається cryptojacking, стає все більш популярним серед кіберзлочинців з середини 2017 р. Деякі рішення безпеки виявляють більшість із цих сценаріїв cryptojacking як потенційно небажані програми.