06.04.2021
Хакеры использовали облачную инфраструктуру GitHub для скрытого майнинга криптовалют. Атака криптоджекинга проводилась с осени 2020 года и затронула функционал GitHub Actions.
Служба хостинга кодов GitHub расследует серию атак на свою облачную инфраструктуру. Данные атаки позволили киберпреступникам использовать серверы компании для скрытых операций по майнингу криптовалют и были впервые обнаружены французским инженером-программистом в ноябре прошлого года.
Атака криптоджекинга затронула функционал GitHub под названием GitHub Actions. Данный функционал позволяет пользователям автоматически выполнять задачи и рабочие процессы, которые запускаются определенным событием, происходящим внутри их репозиториев.
Чтобы запустить программное обеспечение для майнинга криптовалют, злоумышленники проводили форк существующего репозитория, добавляли вредоносный элемент GitHub Actions к исходному коду, а затем отправляли Pull Request в исходный репозиторий, чтобы добавить измененный код обратно.
Как рассказал нидерландский инженер по безопасности Джастин Пердок (Justin Perdok), владельцу проекта не нужно было одобрять вредоносный запрос на слияние, потому что сразу после его подачи системы GitHub считывают код злоумышленника и запускают виртуальную машину, которая загружает и запускает ПО для майнинга криптовалют.
Он добавил, что «злоумышленники разворачивают до 100 криптовалютных майнеров с помощью одной атаки, создавая огромные вычислительные нагрузки для инфраструктуры GitHub».
Программное обеспечение для майнинга включало SRBMiner – ПО для майнинга нескольких криптовалют с использованием видеокарт и процессоров. Судя по всему, злоумышленники не пытались нанести вред репозиториям, а только хотели бесплатно добывать криптовалюты с помощью серверов GitHub.
Напомним, что в январском отчете Check Point отмечается доминирование криптоджекинга среди кибератак и прогнозируется рост распространения ПО для скрытого майнинга криптовалют в облачных инфраструктурах.