Infrastruttura server GitHub abusata in un attacco di crypto-mining inarrestabile

ad-Midbar
ad-Midbar
ad-Midbar
ad-Midbar

Infrastruttura server GitHub abusata in un attacco di crypto-mining inarrestabile

Infrastruttura cloud GitHub hero 2 utilizzata per l'estrazione di criptovaluta dai criminali informatici
Alla fine del mese scorso, abbiamo segnalato una tendenza all'aumento degli incidenti di sicurezza informatica in tutto il mondo che potrebbe portare alla fine di alcune attività. Ora, l'ultima vittima di un attacco informatico è GitHub di proprietà di Microsoft, con segnalazioni di criminali informatici che sfruttano l'infrastruttura cloud GitHub per estrarre criptovaluta.

Almeno dall'autunno del 2020, gli aggressori hanno abusato di una funzionalità chiamata GitHub Actions, che consente agli utenti di automatizzare attività e flussi di lavoro una volta che si verifica un evento all'interno di un repository. Una volta attivate, le azioni GitHub possono eseguire lo spool di una VM o di un contenitore per testare in genere il codice in un ambiente live. In una telefonata a Il disco, L'ingegnere di sicurezza olandese Justin Perdok ha spiegato che "almeno un attore di minacce sta prendendo di mira i repository GitHub in cui le azioni GitHub potrebbero essere abilitate".

infrastruttura cloud github utilizzata per l'estrazione di criptovaluta dai criminali informatici justin perdok

L'attacco funziona eseguendo il fork o la copia di codice legittimo da un repository GitHub e quindi aggiungendo contenuto dannoso. Una volta che il contenuto è stato incorporato nella copia, il criminale informatico invierà una richiesta pull per unire il codice all'originale. È interessante notare che l'attacco non si basa sull'approvazione della richiesta di pull, ma secondo Perdok basta fare la richiesta.

infrastruttura cloud github utilizzata per l'estrazione di criptovaluta dai criminali informatici justin perdok 2

Gli aggressori prendono di mira in modo specifico i repository con flussi di lavoro automatizzati che testano le richieste pull in arrivo tramite i lavori automatizzati con azioni GitHub. Quando viene presentata la pull Request dannosa, GitHub avvia una VM per la richiesta di "testare" il codice, che ora include un minatore di criptovaluta che verrà eseguito sull'infrastruttura di GitHub a tempo indefinito in teoria. Perdok ha anche affermato di aver abusato dei progetti in questo modo e ha anche visto "gli aggressori lanciare fino a 100 cripto-miner tramite un solo attacco, creando enormi carichi di calcolo per l'infrastruttura di GitHub".

In un'e-mail, GitHub spiega di essere "consapevole di questa attività e sta indagando attivamente" e lo ha fatto dall'anno scorso, quando l'attacco è stato segnalato per la prima volta. Questo è probabilmente un problema piuttosto difficile da risolvere senza modificare il funzionamento di GitHub Actions. Inoltre, se blocchi gli account, ne emergono di nuovi quasi immediatamente. In ogni caso, dovremo vedere come GitHub risponde correttamente a questo incidente di sicurezza, quindi rimanete sintonizzati su HotHardware per gli aggiornamenti.

(Immagini per gentile concessione di The Record e Justin Perdok)

Fonte

ad-bottom
ad-bottom
ad-bottom
ad-bottom

NON CI SONO COMMENTI