Infraestructura del servidor GitHub abusada en un implacable ataque de minería criptográfica

ad-midbar
ad-midbar
ad-midbar
ad-midbar

Infraestructura del servidor GitHub abusada en un implacable ataque de minería criptográfica

hero 2 infraestructura en la nube github utilizada para la minería de criptomonedas por los ciberdelincuentes
A fines del mes pasado, informamos sobre una tendencia de aumento de incidentes de ciberseguridad en todo el mundo que podrían llevar al final de algunos negocios. Ahora, la última víctima de un ciberataque es GitHub, propiedad de Microsoft, con informes de ciberdelincuentes que aprovechan la infraestructura en la nube de GitHub para extraer criptomonedas.

Desde al menos el otoño de 2020, los atacantes han abusado de una función llamada Acciones de GitHub, que permite a los usuarios automatizar tareas y flujos de trabajo una vez que ocurre un evento dentro de un repositorio. Una vez activadas, las acciones de GitHub pueden poner en cola una máquina virtual o un contenedor para probar el código en un entorno en vivo. En una llamada telefónica a The Record, El ingeniero de seguridad holandés Justin Perdok explicó que "al menos un actor de amenazas está apuntando a los repositorios de GitHub donde las acciones de GitHub podrían estar habilitadas".

infraestructura de nube github utilizada para la minería de criptomonedas por los ciberdelincuentes justin perdok

El ataque funciona bifurcando o copiando código legítimo de un repositorio de GitHub y luego agregando contenido malicioso. Una vez que el contenido está incrustado en la copia, el ciberdelincuente haría una solicitud de extracción para fusionar el código con el original. Curiosamente, el ataque no depende de que se apruebe la solicitud de extracción, pero solo hacer la solicitud es suficiente según Perdok.

infraestructura de nube github utilizada para la minería de criptomonedas por los ciberdelincuentes justin perdok 2

Los atacantes se dirigen específicamente a los repositorios con flujos de trabajo automatizados que prueban las solicitudes de extracción entrantes a través de los trabajos automatizados con acciones de GitHub. Cuando se presenta la solicitud de extracción maliciosa, GitHub activa una máquina virtual para la solicitud de "probar" el código, que ahora incluye un minero de criptomonedas que se ejecutará en la infraestructura de GitHub indefinidamente en teoría. Perdok también declaró que había abusado de los proyectos de esta manera y también ha visto que "los atacantes giran hasta 100 cripto-mineros a través de un solo ataque, creando enormes cargas computacionales para la infraestructura de GitHub".

En un correo electrónico, GitHub explica que "está al tanto de esta actividad y está investigando activamente", y lo ha estado haciendo desde el año pasado cuando se informó por primera vez del ataque. Es probable que este sea un problema bastante difícil de solucionar sin cambiar el funcionamiento de las acciones de GitHub. Además, si prohíbe las cuentas, aparecerán nuevas casi de inmediato. En cualquier caso, tendremos que ver cómo responde correctamente GitHub a este incidente de seguridad, así que estad atentos a HotHardware para actualizaciones

(Imágenes cortesía de The Record y Justin Perdok)

Fuente

ad-bottom
ad-bottom
ad-bottom
ad-bottom

SIN COMENTARIOS