執拗な暗号マイニング攻撃で悪用されたGitHubサーバーインフラストラクチャ

広告中点
広告中点
広告中点
広告中点

執拗な暗号マイニング攻撃で悪用されたGitHubサーバーインフラストラクチャ

サイバー犯罪者による暗号通貨マイニングに使用されるヒーロー2githubクラウドインフラストラクチャ
先月末、一部のビジネスの終了につながる可能性のあるサイバーセキュリティインシデントが世界中で増加する傾向について報告しました。 現在、最新のサイバー攻撃の犠牲者はマイクロソフトが所有するGitHubであり、サイバー犯罪者がGitHubクラウドインフラストラクチャを利用して暗号通貨をマイニングしているという報告があります。

少なくとも2020年の秋以来、攻撃者はGitHub Actionsと呼ばれる機能を悪用してきました。この機能を使用すると、リポジトリ内でイベントが発生すると、ユーザーはタスクとワークフローを自動化できます。 トリガーされると、GitHub ActionsはVMまたはコンテナーをスプールして、通常、ライブ環境でコードをテストできます。 に電話で 記録、オランダのセキュリティエンジニアであるJustin Perdokは、「少なくともXNUMX人の脅威アクターがGitHubアクションが有効になっている可能性のあるGitHubリポジトリを標的にしている」と説明しました。

サイバー犯罪者による暗号通貨マイニングに使用されるgithubクラウドインフラストラクチャjustinperdok

この攻撃は、GitHubリポジトリから正当なコードをフォークまたはコピーしてから、悪意のあるコンテンツを追加することで機能します。 コンテンツがコピーに埋め込まれると、サイバー犯罪者はプルリクエストを作成してコードを元のコードにマージします。 興味深いことに、攻撃は承認されたプルリクエストに依存していませんが、Perdokによるとリクエストを行うだけで十分です。

サイバー犯罪者による暗号通貨マイニングに使用されるgithubクラウドインフラストラクチャjustinperdok 2

攻撃者は、GitHub Actionsを使用した自動化されたジョブを介して着信プルリクエストをテストする自動化されたワークフローを使用して、リポジトリを特に標的にします。 悪意のあるプルリクエストが提出されると、GitHubはコードを「テスト」するリクエストのVMを起動します。これには、理論的にはGitHubのインフラストラクチャで無期限に実行される暗号通貨マイナーが含まれています。 Perdokはまた、プロジェクトがこのように悪用されており、「攻撃者は100回の攻撃だけで最大XNUMX人の暗号マイナーをスピンさせ、GitHubのインフラストラクチャに膨大な計算負荷をかけている」とも述べています。

GitHubはメールで、「このアクティビティを認識しており、積極的に調査している」と説明しており、攻撃が最初に報告された昨年からそうしています。 これは、GitHubActionsの動作を変更せずに修正するのはかなり難しい問題である可能性があります。 さらに、アカウントを禁止すると、新しいアカウントがすぐに作成されます。 いずれにせよ、GitHubがこのセキュリティインシデントにどのように適切に対応するかを確認する必要がありますので、ご期待ください HotHardware 更新のために。

(画像はTheRecordとJustinPerdokの好意による)

ソース

広告底部
広告底部
広告底部
広告底部

コメントはありません