Hakerzy kopią kryptowaluty na serwerach GitHub

Firma, której właścicielem jest Microsoft, bada serię ataków na swoją infrastrukturę chmurową, dzięki którym cyberprzestępcy kopią kryptowaluty na ich serwerach. Inżynier zajmujący się cyberbezpieczeństwem w GitHub stwierdził, że przynajmniej jedna osoba wykorzystała funkcję GitHub Actions do uruchomienia niepożądanego kodu.

Historia ma swój początek jesienią 2020 roku, kiedy to w firmie zauważono, że znacząco wzrosły rachunki za prąd. Okazało się, iż hakerzy dodają do oryginalnego kodu przechowywanego na GitHub swoje złośliwe elementy, a dzięki funkcji Actions scalane są one z pierwotnym programem. Niestety, właściciel projektu nie musi nawet zatwierdzać operacji, aby atak się powiódł. Wystarczy tzw. Pull Request (PR) uruchomiony przez hakera. Firma bada problem, ale zablokowanie hakerów przypomina trochę walkę z wiatrakami. Mimo dezaktywacji kolejnych kont hakerów, powstają nowe, które robią dokładnie to samo.

Maszyny wirtualne jako kopalnia kryptowaluty

Kryptowaluty kopane są na wirtualnych maszynach stworzonych przy użyciu złośliwego kodu. Atakujący wykorzystują właścicieli projektów GitHub i za pomocą zautomatyzowanych przepływów pracy oraz PR, wprowadzają złośliwy kod do infrastruktury GitHub. Następnie, na podstawie podrzuconego kodu, uruchamiana jest maszyna wirtualna, która wykorzystywana jest do kopania kryptowaluty. W jednym ataku hakerzy potrafią uruchomić nawet 100 koparek!

Wydobywanie cyfrowego pieniądza wymaga olbrzymich zasobów i powoduje nie tylko wzrost rachunków za prąd, ale też obciążenie infrastruktury GitHub. Cierpi więc na tym nie tylko firma, ale i użytkownicy serwisu. Mimo że ataki nie uszkadzają fizycznej infrastruktury i nie powodują utraty danych, znacząco wpływają na funkcjonowanie systemu. Na razie nie wiadomo, czy uda się je zatrzymać, bo zablokowanie funkcji Actions będzie jednoznaczne z unieruchomieniem wielu zwykłych kont. Czas pokaże, czy inżynierom uda się wyeliminować problem.

Źródło: Interesting Engineering