Злоумышленники используют серверную инфраструктуру GitHub для криптомайнинга

Злоумышленники используют серверную инфраструктуру GitHub для криптомайнинга

Злоумышленники нацелены на владельцев проектов GitHub с автоматизированными рабочими процессами.

Web-сервис для хостинга IT-проектов GitHub расследует серию атак на свою облачную инфраструктуру, в рамках которой киберпреступники используют серверы компании для незаконных операций по майнингу криптовалют.

Первые атаки были зафиксированы французских программистом, использующим псевдоним Tib, осенью 2020 года. В ходе кампании преступники используют функцию GitHub Actions, позволяющую автоматически выполнять задачи и рабочие процессы после того, как определенное событие происходит в одном из репозиториев пользователя GitHub.

ИБ-специалист Джастин Пердок (Justin Perdok) сообщил , что по крайней мере один злоумышленник атакует репозитории GitHub с включенной функцией GitHub Actions. Атака включает создание форка легитимного репозитория, добавление вредоносных GitHub Actions к исходному коду, а затем отправку запроса на принятие изменений (Pull Request) со стороны исходного репозитория для слияния кода обратно с оригиналом.

По словам Пердока, осуществление атаки не требует одобрение вредоносного запроса на принятие изменений. Достаточно просто отправить запрос. Как отметил специалист, злоумышленники атакуют владельцев проектов GitHub с автоматизированными рабочими процессами, которые проверяют входящие запросы на принятие изменений с помощью автоматизированных функций.

После отправки вредоносного запроса системы GitHub считывают код злоумышленника и запускают виртуальную машину, которая загружает и запускает программное обеспечение для майнинга криптовалюты в инфраструктуре GitHub. Как утверждает Пердок, преступники запускали около 100 криптомайнеров в рамках одной атаки, создавая огромные вычислительные нагрузки для инфраструктуры GitHub.

Представители GitHub «осведомлены об этой деятельности и активно расследуют вредоносную кампанию», однако то же самое они сказали французскому программисту в прошлом году. Похоже, расследование не мешает злоумышленнику, поскольку преступник просто регистрирует новые учетные записи, как только старые блокируются администрацией сервиса.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!