Các quản trị viên của nền tảng lưu trữ mã GitHub, đang tích cực điều tra một loạt các cuộc tấn công vào cơ sở hạ tầng đám mây của họ, vì kiểu tấn công này cho phép tin tặc sử dụng máy chủ của công ty để thực hiện các hoạt động khai thác bất hợp pháp tiền điện tử.
Và đó là trong quý 2020 năm XNUMX, các cuộc tấn công dựa trên việc sử dụng một tính năng GitHub được gọi là GitHub Actions cho phép người dùng bắt đầu tác vụ tự động sau một sự kiện nhất định từ kho GitHub của họ.
Để đạt được lợi ích này, tin tặc đã chiếm quyền kiểm soát một kho lưu trữ hợp pháp bằng cách cài đặt mã độc hại trong mã gốc trên GitHub Actions và sau đó thực hiện một yêu cầu kéo đối với kho lưu trữ ban đầu để hợp nhất mã đã sửa đổi với mã hợp pháp.
Là một phần của cuộc tấn công vào GitHub, các nhà nghiên cứu bảo mật đã báo cáo rằng tin tặc có thể chạy tới 100 công cụ khai thác tiền điện tử trong một cuộc tấn công, tạo ra lượng tính toán khổng lồ trên cơ sở hạ tầng GitHub. Cho đến nay, những tin tặc này dường như hoạt động ngẫu nhiên và quy mô lớn.
Nghiên cứu đã tiết lộ rằng ít nhất một tài khoản thực hiện hàng trăm yêu cầu cập nhật có chứa mã độc. Hiện tại, những kẻ tấn công dường như không chủ động nhắm mục tiêu vào người dùng GitHub, thay vào đó tập trung vào việc sử dụng cơ sở hạ tầng đám mây của GitHub để tổ chức hoạt động khai thác tiền điện tử.
Kỹ sư bảo mật người Hà Lan Justin Perdok nói với The Record rằng ít nhất một hacker đang nhắm mục tiêu vào kho lưu trữ GitHub nơi có thể kích hoạt các hành động GitHub.
Cuộc tấn công liên quan đến việc giả mạo một kho lưu trữ hợp pháp, thêm các hành động GitHub độc hại vào mã gốc, sau đó gửi yêu cầu kéo với kho lưu trữ gốc để hợp nhất mã với bản gốc.
Trường hợp đầu tiên của cuộc tấn công này được báo cáo bởi một kỹ sư phần mềm ở Pháp vào tháng 2020 năm XNUMX. Giống như phản ứng của nó đối với sự cố đầu tiên, GitHub tuyên bố rằng họ đang tích cực điều tra vụ tấn công gần đây. Tuy nhiên, GitHub dường như đến và đi trong các cuộc tấn công, vì tin tặc chỉ cần tạo tài khoản mới sau khi công ty phát hiện và hủy kích hoạt các tài khoản bị nhiễm.
Vào tháng 0 năm ngoái, một nhóm chuyên gia bảo mật CNTT của Google được giao nhiệm vụ tìm kiếm các lỗ hổng trong XNUMX ngày đã làm lộ ra một lỗ hổng bảo mật trong nền tảng GitHub. Theo Felix Wilhelm, thành viên nhóm Project Zero, người đã phát hiện ra nó, lỗ hổng này cũng ảnh hưởng đến chức năng của GitHub Actions, một công cụ để tự động hóa công việc của các nhà phát triển. Điều này là do các lệnh dòng công việc Actions "dễ bị tấn công chèn ép":
Github Actions hỗ trợ một tính năng gọi là lệnh quy trình làm việc như một kênh giao tiếp giữa Action broker và hành động đang được thực hiện. Các lệnh dòng công việc được thực hiện trong runner / src / Runner.Worker / ActionCommandManager.cs và hoạt động bằng cách phân tích cú pháp STDOUT của tất cả các hành động được thực hiện cho một trong hai dấu lệnh.
GitHub Actions có sẵn trên các tài khoản GitHub Miễn phí, GitHub Pro, GitHub Miễn phí cho Tổ chức, Nhóm GitHub, GitHub Enterprise Cloud, GitHub Enterprise Server, GitHub One và GitHub AE. GitHub Actions không khả dụng cho các kho riêng do các tài khoản sử dụng gói cũ sở hữu.
Hoạt động khai thác tiền điện tử thường ẩn hoặc chạy trong nền mà không có sự đồng ý của quản trị viên hoặc người dùng. Có hai loại khai thác tiền điện tử độc hại:
- Chế độ nhị phân: chúng là các ứng dụng độc hại được tải xuống và cài đặt trên thiết bị mục tiêu với mục đích khai thác tiền điện tử. Một số giải pháp bảo mật xác định hầu hết các ứng dụng này là Trojan.
- Chế độ trình duyệt - Đây là mã JavaScript độc hại được nhúng trong một trang web (hoặc một số thành phần hoặc đối tượng của nó), được thiết kế để trích xuất tiền điện tử từ trình duyệt của khách truy cập trang web. Phương thức gọi là cryptojacking này ngày càng phổ biến với tội phạm mạng kể từ giữa năm 2017. Một số giải pháp bảo mật phát hiện hầu hết các tập lệnh cryptojacking này là các ứng dụng không mong muốn tiềm ẩn.