Infrastructure de serveur GitHub utilisée abusivement dans une attaque de crypto-minage implacable

ad-midbar
ad-midbar
ad-midbar
ad-midbar

Infrastructure de serveur GitHub utilisée abusivement dans une attaque de crypto-minage implacable

Infrastructure cloud hero 2 github utilisée pour l'extraction de cyrptomonnaies par les cybercriminels
À la fin du mois dernier, nous avons signalé une tendance à la hausse des incidents de cybersécurité dans le monde qui pourrait entraîner la fin de certaines entreprises. Désormais, la dernière victime d'une cyberattaque est GitHub, propriété de Microsoft, avec des rapports de cybercriminels exploitant l'infrastructure cloud GitHub pour exploiter la crypto-monnaie.

Depuis au moins l'automne 2020, les attaquants abusent d'une fonctionnalité appelée Actions GitHub, qui permet aux utilisateurs d'automatiser les tâches et les flux de travail une fois qu'un événement se produit dans un référentiel. Une fois déclenchées, les actions GitHub peuvent mettre en file d'attente une machine virtuelle ou un conteneur pour tester généralement le code dans un environnement en direct. Lors d'un appel téléphonique à L'enregistrement, L'ingénieur de sécurité néerlandais Justin Perdok a expliqué qu '«au moins un acteur de la menace cible les référentiels GitHub où les actions GitHub pourraient être activées».

infrastructure cloud github utilisée pour l'extraction de cyrpto-monnaie par les cybercriminels justin perdok

L'attaque fonctionne en forçant ou en copiant du code légitime à partir d'un référentiel GitHub, puis en ajoutant du contenu malveillant. Une fois que le contenu est intégré dans la copie, le cybercriminel fera alors une demande d'extraction pour fusionner le code avec l'original. Fait intéressant, l'attaque ne repose pas sur l'approbation de la demande de tirage, mais le simple fait de faire la demande suffit selon Perdok.

infrastructure cloud github utilisée pour l'extraction de cyrpto-monnaie par les cybercriminels justin perdok 2

Les attaquants ciblent spécifiquement les référentiels avec des flux de travail automatisés qui testent les demandes d'extraction entrantes via les tâches automatisées avec des actions GitHub. Lorsque la demande de tirage malveillante est déposée, GitHub lance une machine virtuelle pour la demande de «tester» le code, qui comprend désormais un mineur de crypto-monnaie qui fonctionnera indéfiniment sur l'infrastructure de GitHub en théorie. Perdok a également déclaré qu'il avait abusé de projets de cette manière et qu'il avait également vu «des attaquants faire tourner jusqu'à 100 crypto-mineurs via une seule attaque, créant d'énormes charges de calcul pour l'infrastructure de GitHub».

Dans un e-mail, GitHub explique qu'il «est au courant de cette activité et mène une enquête active», et le fait depuis l'année dernière, lorsque l'attaque a été signalée pour la première fois. Il s'agit probablement d'un problème assez difficile à résoudre sans changer le fonctionnement des actions GitHub. De plus, si vous bannissez des comptes, de nouveaux comptes apparaissent presque immédiatement. Dans tous les cas, nous devrons voir comment GitHub répond correctement à cet incident de sécurité, alors restez à l'écoute HotHardware pour les mises à jour.

(Images gracieuseté de The Record et Justin Perdok)

Source

fond d'annonce
fond d'annonce
fond d'annonce
fond d'annonce

SANS COMMENTAIRES