Инфраструктура сервера GitHub подверглась злоупотреблениям в результате непрекращающейся атаки крипто-майнинга

ад-Мидбар
ад-Мидбар
ад-Мидбар
ад-Мидбар

Инфраструктура сервера GitHub подверглась злоупотреблениям в результате непрекращающейся атаки крипто-майнинга

Облачная инфраструктура героя 2 на github, используемая злоумышленниками для добычи криптовалюты
В конце прошлого месяца мы сообщили о тенденции роста числа инцидентов, связанных с кибербезопасностью, во всем мире, которые могут привести к прекращению деятельности некоторых предприятий. Теперь последней жертвой кибератаки является GitHub, принадлежащий Microsoft, с сообщениями о киберпреступниках, использующих облачную инфраструктуру GitHub для добычи криптовалюты.

По крайней мере, с осени 2020 года злоумышленники злоупотребляли функцией под названием GitHub Actions, которая позволяет пользователям автоматизировать задачи и рабочие процессы после того, как событие происходит в репозитории. После запуска GitHub Actions могут загружать виртуальную машину или контейнер в очередь для тестирования кода в реальной среде. В телефонном звонке The Record, Голландский инженер по безопасности Джастин Пердок объяснил, что «по крайней мере один злоумышленник нацелен на репозитории GitHub, где могут быть включены действия GitHub».

Облачная инфраструктура github, используемая киберпреступниками для майнинга криптовалюты Джастин Пердок

Атака работает путем разветвления или копирования легитимного кода из репозитория GitHub с последующим добавлением вредоносного содержимого. После того, как контент будет встроен в копию, киберпреступник сделает запрос на извлечение, чтобы снова объединить код с оригиналом. Интересно, что атака не зависит от утверждения запроса на извлечение, но, по словам Пердока, достаточно просто сделать запрос.

Облачная инфраструктура github, используемая киберпреступниками для майнинга криптовалюты Джастин Пердок 2

Злоумышленники специально нацелены на репозитории с автоматизированными рабочими процессами, которые проверяют входящие запросы на вытягивание с помощью автоматизированных заданий с помощью GitHub Actions. При отправке вредоносного Pull Request GitHub запускает виртуальную машину для запроса «тестирования» кода, который теперь включает майнер криптовалюты, который теоретически будет работать в инфраструктуре GitHub неограниченное время. Пердок также заявил, что подобным образом злоупотребляли проектами, а также видел, как «злоумышленники раскручивают до 100 криптомайнеров с помощью одной атаки, создавая огромные вычислительные нагрузки для инфраструктуры GitHub».

В электронном письме GitHub объясняет, что он «осведомлен об этой деятельности и ведет активное расследование», и делает это с прошлого года, когда впервые было сообщено об атаке. Это, вероятно, довольно сложная проблема, которую можно исправить, не изменяя принцип работы GitHub Actions. Более того, если вы заблокируете учетные записи, практически сразу же появятся новые. В любом случае нам нужно будет посмотреть, как GitHub правильно отреагирует на этот инцидент безопасности, поэтому следите за обновлениями HotHardware для обновлений.

(Изображения любезно предоставлены The Record и Джастином Пердоком)

Источник

Объявление дно
Объявление дно
Объявление дно
Объявление дно

БЕЗ КОММЕНТАРИЕВ