Infrastruktura serwera GitHub nadużywana w nieustannym ataku na kryptowaluty

ad-midbar
ad-midbar
ad-midbar
ad-midbar

Infrastruktura serwera GitHub nadużywana w nieustannym ataku na kryptowaluty

infrastruktura chmury hero 2 na githubie wykorzystywana do wydobywania kryptowaluty przez cyberprzestępców
Pod koniec ubiegłego miesiąca informowaliśmy o tendencji wzrostu liczby incydentów cyberbezpieczeństwa na całym świecie, które mogą doprowadzić do upadku niektórych firm. Teraz najnowszą ofiarą cyberataku jest GitHub należący do Microsoftu, z doniesieniami o cyberprzestępcach wykorzystujących infrastrukturę chmury GitHub do wydobywania kryptowaluty.

Co najmniej od jesieni 2020 roku napastnicy nadużywają funkcji o nazwie GitHub Actions, która pozwala użytkownikom automatyzować zadania i przepływy pracy, gdy zdarzenie ma miejsce w repozytorium. Po uruchomieniu akcje GitHub mogą buforować maszynę wirtualną lub kontener, aby zazwyczaj testować kod w środowisku na żywo. Podczas rozmowy telefonicznej z Rekord, Holenderski inżynier bezpieczeństwa Justin Perdok wyjaśnił, że „co najmniej jeden aktor zagrażający atakuje repozytoria GitHub, w których mogą być włączone akcje GitHub”.

infrastruktura chmurowa github wykorzystywana do wydobywania kryptowalut przez cyberprzestępców Justina Perdoka

Atak polega na rozwidlaniu lub kopiowaniu legalnego kodu z repozytorium GitHub, a następnie dodawaniu złośliwej zawartości. Gdy treść zostanie osadzona w kopii, cyberprzestępca wysyła żądanie ściągnięcia, aby z powrotem scalić kod z oryginałem. Co ciekawe, atak nie polega na zatwierdzeniu pull requesta, ale według Perdoka wystarczy samo zgłoszenie żądania.

infrastruktura chmurowa github używana do wydobywania kryptowaluty przez cyberprzestępców justin perdok 2

Atakujący celują w repozytoria za pomocą zautomatyzowanych przepływów pracy, które testują przychodzące żądania ściągnięcia za pośrednictwem zautomatyzowanych zadań z GitHub Actions. Kiedy złośliwe żądanie ściągnięcia zostanie złożone, GitHub obraca maszynę wirtualną dla żądania „przetestowania” kodu, który teraz zawiera koparkę kryptowalut, która teoretycznie będzie działać w infrastrukturze GitHub przez czas nieokreślony. Perdok stwierdził również, że miał projekty nadużywane w ten sposób, a także widział „napastników obracających do 100 kopaczy kryptowalut za pomocą jednego ataku, tworząc ogromne obciążenia obliczeniowe dla infrastruktury GitHub”.

W e-mailu GitHub wyjaśnia, że ​​„jest świadomy tego działania i aktywnie bada” i robi to od zeszłego roku, kiedy po raz pierwszy zgłoszono atak. Jest to prawdopodobnie dość trudny problem do rozwiązania bez zmiany sposobu działania akcji GitHub. Co więcej, jeśli zablokujesz konta, nowe pojawiają się prawie natychmiast. W każdym razie będziemy musieli sprawdzić, jak GitHub odpowiednio reaguje na to incydent związany z bezpieczeństwem, więc bądź na bieżąco HotHardware dla aktualizacji.

(Zdjęcia dzięki uprzejmości The Record i Justina Perdoka)

Źródło

ad-bottom
ad-bottom
ad-bottom
ad-bottom

BEZ KOMENTARZA