Злоумышленники нацелены на владельцев проектов GitHub с автоматизированными рабочими процессами.
Web-сервис для хостинга IT-проектов GitHub расследует серию атак на свою облачную инфраструктуру, в рамках которой киберпреступники используют серверы компании для незаконных операций по майнингу криптовалют.
Первые атаки были зафиксированы французских программистом, использующим псевдоним Tib, осенью 2020 года. В ходе кампании преступники используют функцию GitHub Actions, позволяющую автоматически выполнять задачи и рабочие процессы после того, как определенное событие происходит в одном из репозиториев пользователя GitHub.
ИБ-специалист Джастин Пердок (Justin Perdok) сообщил , что по крайней мере один злоумышленник атакует репозитории GitHub с включенной функцией GitHub Actions. Атака включает создание форка легитимного репозитория, добавление вредоносных GitHub Actions к исходному коду, а затем отправку запроса на принятие изменений (Pull Request) со стороны исходного репозитория для слияния кода обратно с оригиналом.
По словам Пердока, осуществление атаки не требует одобрение вредоносного запроса на принятие изменений. Достаточно просто отправить запрос. Как отметил специалист, злоумышленники атакуют владельцев проектов GitHub с автоматизированными рабочими процессами, которые проверяют входящие запросы на принятие изменений с помощью автоматизированных функций.
После отправки вредоносного запроса системы GitHub считывают код злоумышленника и запускают виртуальную машину, которая загружает и запускает программное обеспечение для майнинга криптовалюты в инфраструктуре GitHub. Как утверждает Пердок, преступники запускали около 100 криптомайнеров в рамках одной атаки, создавая огромные вычислительные нагрузки для инфраструктуры GitHub.
Представители GitHub «осведомлены об этой деятельности и активно расследуют вредоносную кампанию», однако то же самое они сказали французскому программисту в прошлом году. Похоже, расследование не мешает злоумышленнику, поскольку преступник просто регистрирует новые учетные записи, как только старые блокируются администрацией сервиса.
Одно найти легче, чем другое. Спойлер: это не темная материя