MGI 的管理员 代码托管平台 GitHub正在积极调查对其云基础架构的一系列攻击,因为这种类型的攻击允许黑客使用公司的服务器来进行非法采矿作业 加密货币。
正是在2020年第三季度,这些 攻击是基于利用名为GitHub Actions的GitHub功能进行的 允许用户在特定事件发生后从其GitHub存储库中自动启动任务。
要实现此漏洞利用, 黑客通过在GitHub Actions的原始代码中安装恶意代码来控制合法存储库 然后针对原始存储库发出请求请求,以将修改后的代码与合法代码合并。
作为对GitHub的攻击的一部分, 安全研究人员报告称,黑客在一次攻击中最多可以运行100个加密货币矿工,在GitHub基础架构上创建了巨大的计算负担。 到目前为止,这些黑客似乎大规模地随机运行。
研究表明,至少一个帐户执行数百个包含恶意代码的更新请求。 目前,攻击者似乎并没有积极针对GitHub用户,而是专注于使用GitHub的云基础架构来托管加密货币挖矿活动。
荷兰安全工程师贾斯汀·珀多克(Justin Perdok)告诉The Record,至少有一个黑客针对可以启用GitHub操作的GitHub存储库。
攻击涉及派生一个合法的存储库,将恶意的GitHub操作添加到原始代码,然后向原始存储库提交拉取请求以将代码与原始存储库合并。
一名法国的软件工程师在2020年XNUMX月报告了此攻击的第一起事件。与对第一起事件的反应一样,GitHub表示正在积极调查最近的攻击。 但是,GitHub似乎无处不在,因为一旦公司检测到并禁用了受感染的帐户,黑客便会创建新帐户。
去年0月,一个由Google IT安全专家组成的小组负责寻找XNUMX天漏洞,暴露了GitHub平台中的一个安全漏洞。 据发现它的零号项目团队成员Felix Wilhelm所说,该漏洞还影响了GitHub Actions的功能,GitHub Actions是使开发人员的工作自动化的工具。 这是因为Actions工作流命令“容易受到注入攻击”:
Github Actions支持称为工作流命令的功能 作为操作代理与正在执行的操作之间的通信渠道。 工作流命令是在Runner / src / Runner.Worker / ActionCommandManager.cs中实现的,并且通过解析对两个命令标记之一执行的所有动作的STDOUT进行工作。
可以在GitHub Free,GitHub Pro,适用于组织的GitHub Free,GitHub Team,GitHub Enterprise Cloud,GitHub Enterprise Server,GitHub One和GitHub AE帐户上使用GitHub Actions。 GitHub Actions不适用于使用较旧计划的帐户所拥有的私有存储库。
未经管理员或用户同意,加密货币挖掘活动通常是隐藏的或在后台运行。 恶意加密挖矿有两种类型:
- 二进制模式:它们是恶意软件下载并安装在目标设备上,目的是挖掘加密货币。 一些安全解决方案将其中的大多数应用程序识别为特洛伊木马。
- 浏览器模式-这是嵌入网页(或其某些组件或对象)中的恶意JavaScript代码,旨在从站点访问者的浏览器中提取加密货币。 自2017年中以来,这种称为加密劫持的方法在网络犯罪分子中越来越受欢迎。一些安全解决方案将这些加密劫持脚本中的大多数检测为潜在有害应用程序。