GitHub-serverinfrastruktur misbrugt i ubarmhjertigt krypto-mineangreb

ad-Midbar
ad-Midbar
ad-Midbar
ad-Midbar

GitHub-serverinfrastruktur misbrugt i ubarmhjertigt krypto-mineangreb

hero 2 github skyinfrastruktur, der bruges til cyrptovaluta-minedrift af cyberkriminelle
Sent i sidste måned rapporterede vi om en tendens med stigende cybersikkerhedshændelser over hele verden, der kunne føre til afslutningen af ​​nogle virksomheder. Nu er det seneste cyberangrebsoffer Microsoft-ejede GitHub med rapporter om cyberkriminelle, der udnytter GitHub-skyinfrastruktur til minekryptovaluta.

Siden i det mindste efteråret 2020 har angribere misbrugt en funktion kaldet GitHub Actions, som lader brugerne automatisere opgaver og arbejdsgange, når en begivenhed sker i et lager. Når den er udløst, kan GitHub Actions spole en VM eller en container til typisk at teste kode i et live miljø. I et telefonopkald til The Record, Den hollandske sikkerhedsingeniør Justin Perdok forklarede, at "mindst en trusselsaktør målretter mod GitHub-arkiver, hvor GitHub-handlinger muligvis er aktiveret."

github skyinfrastruktur brugt til cyrptovaluta minedrift af cyberkriminelle justin perdok

Angrebet fungerer ved at gafle eller kopiere legitim kode fra et GitHub-arkiv og derefter tilføje ondsindet indhold. Når indholdet er indlejret i kopien, vil cyberkriminellen derefter fremsætte en Pull-anmodning for at fusionere koden tilbage med originalen. Interessant nok afhænger angrebet ikke af, at Pull Request bliver godkendt, men det er bare nok at stille anmodningen ifølge Perdok.

github skyinfrastruktur, der anvendes til cyrptovaluta-minedrift af cyberkriminelle justin perdok 2

Angriberne målretter specifikt arkiver med automatiserede arbejdsgange, der tester indgående pullanmodninger via de automatiserede job med GitHub Actions. Når den ondsindede Pull-anmodning indgives, spinder GitHub en VM op til anmodningen om at "teste" koden, som nu inkluderer en kryptovaluta-minearbejder, der i teorien kører på GitHubs infrastruktur på ubestemt tid. Perdok erklærede også, at han havde misbrugt projekter på denne måde og også har set "angribere spinde op til 100 krypto-minearbejdere via et angreb alene, hvilket skaber enorme beregningsbelastninger for GitHubs infrastruktur."

I en e-mail forklarer GitHub, at den “er opmærksom på denne aktivitet og aktivt undersøger”, og har gjort det siden sidste år, da angrebet først blev rapporteret. Dette er sandsynligvis et ret vanskeligt problem at løse uden at ændre, hvordan GitHub Actions fungerer. Desuden, hvis du forbyder konti, dukker nye op næsten øjeblikkeligt. Under alle omstændigheder bliver vi nødt til at se, hvordan GitHub korrekt reagerer på denne sikkerhedshændelse, så hold dig opdateret HotHardware til opdateringer.

(Billeder med tilladelse fra The Record og Justin Perdok)

Kilde

ad-bund
ad-bund
ad-bund
ad-bund

INGEN KOMMENTARER