GitHub正調查有害行為者濫用其服務器基礎設施進行加密採礦活動
代碼託管服務GitHub的發言人今天表示其在積極調查一系列針對其云基礎設施的攻擊,這些攻擊讓網絡犯罪分子植入並濫用該公司的服務器進行非法的加密採礦作業。這些攻擊自2020年秋季以來一直在進行,其濫用了GitHub的一個名為GitHub Actions的功能,該功能允許用戶在其GitHub倉庫內發生某個事件後自動執行任務和工作流程。
在今天的電話中,荷蘭安全工程師Justin Perdok表示至少有一個威脅行為者正在針對可能啟用GitHub Actions的GitHub倉庫。
攻擊涉及偽造一個合法的庫,將惡意的GitHub Actions添加到原始代碼中,然後向原始倉庫提交Pull Request,以便將代碼合併回原始倉庫。但攻擊並不依賴於原始項目所有者批准惡意Pull Request。Perdok說,只要提交Pull Request就足以實現攻擊。
這位荷蘭安全工程師告訴我們,攻擊者專門針對那些擁有自動化工作流程的GitHub項目所有者,這些項目所有者通過自動化作業測試傳入的Pull Request。
一旦這些惡意Pull Request被提交,GitHub的系統就會讀取攻擊者的代碼,並通過虛擬機在GitHub的設施上下載並運行加密貨幣挖掘軟件。
攻擊者僅通過一次攻擊就產生了100個虛擬加密礦機,從而為GitHub的基礎設施創造了巨大的計算負荷。攻擊者似乎是隨機發生的,而且規模很大。Perdok表示,他發現至少有一個賬戶創建了數百個包含惡意代碼的Pull Request。
這些攻擊似乎至少從2020年11月開始發生,當時第一例是由一名法國軟件工程師報告的。
在今天的一封電子郵件中,GitHub表示,他們”意識到這種活動,並正在積極調查”,他們去年對法國工程師也是這麼說的。然而,現在的解決方案似乎知識在和攻擊者玩貓捉老鼠的遊戲,因為一旦舊賬戶被檢測到並暫停,攻擊者就會註冊新賬戶。
目前,這次攻擊似乎沒有以任何方式破壞用戶的項目,似乎只是專注於濫用GitHub基礎設施。