Злоумышленник майнит криптовалюту с помощью GitHub и Azure

GitHub Actions и виртуальные машины Azure (virtual machines, VMs) используются для облачного майнинга криптовалюты. «Злоумышленник может использовать бегуны или серверы GitHub для загрузки и установки своих собственных майнеров», — сказал ИБ-специалист Trend Micro Магно Логан. Бегуны для Linux и Windows размещаются на виртуальных машинах Standard_DS2_v2 в Azure и поставляются с двумя виртуальными ЦП и 7 ГБ памяти.

Trend Micro обнаружила 1000 репозиториев и более 550 образцов кода, которые используют возможности платформы для майнинга с помощью бегунов, предоставленных GitHub. Более того, было обнаружено 11 репозиториев с похожими вариантами скрипта YAML с командами для майнинга Monero, все из которых направлялись на один и тот же кошелек. Можно предположить, что майнинг осуществляется одним киберпреступником или группировкой.

«Пока злоумышленник использует только свои собственные учетные записи и репозитории, у конечных пользователей не должно быть причин для беспокойства. Проблемы возникают, когда GHA публикуются на GitHub Marketplace или используются в качестве зависимости для других действий», — сказал Логан.

Группы, ориентированные на криптоджекинг, проникают в облачные сервисы с помощью следующих уязвимостей:

• неисправленная ошибка;
• ненадежные учетные данные;
• неправильно настроенная облачная реализация.

GitHub Actions ( GHAs ) — это платформа непрерывной интеграции и непрерывной доставки (CI/CD), которая позволяет пользователям автоматизировать конвейер сборки , тестирования и развертывания ПО. Разработчики могут использовать эту функцию для создания рабочих процессов.