GitHub-palvelininfrastruktuuria on käytetty väärin salaamattomassa salaushyökkäyksessä

ad-Midbar
ad-Midbar
ad-Midbar
ad-Midbar

GitHub-palvelininfrastruktuuria on käytetty väärin salaamattomassa salaushyökkäyksessä

sankari 2 github-pilvi-infrastruktuuri, jota verkkorikolliset käyttävät kyprosvaluutan louhintaan
Viime kuun lopulla raportoimme maailmanlaajuisesti lisääntyvistä kyberturvallisuuspoikkeamista, jotka voivat johtaa joidenkin yritysten lopettamiseen. Viimeisin kyberhyökkäyksen uhri on Microsoftin omistama GitHub, ja raportit verkkorikollisista hyödyntävät GitHub-pilvi-infrastruktuuria kaivamaan kryptovaluutta.

Ainakin syksyn 2020 jälkeen hyökkääjät ovat käyttäneet väärin ominaisuutta nimeltä GitHub Actions, jonka avulla käyttäjät voivat automatisoida tehtäviä ja työnkulkuja, kun tapahtuma tapahtuu arkistossa. Käynnistyksen jälkeen GitHub Actions voi kelata virtuaalikoneen tai säilön testataksesi koodin tyypillisesti suorassa ympäristössä. Puhelun aikana Levy, Hollantilainen turvallisuusinsinööri Justin Perdok selitti, että "ainakin yksi uhkatekijä kohdistaa GitHub-arkistoihin, joissa GitHub-toiminnot saatetaan ottaa käyttöön."

github-pilvi-infrastruktuuri, jota verkkorikolliset Justin perdok käyttävät kyprosvaluutan louhintaan

Hyökkäys toimii haarauttamalla tai kopioimalla laillista koodia GitHub-arkistosta ja lisäämällä sitten haitallista sisältöä. Kun sisältö on upotettu kopioon, verkkorikollinen tekisi sitten vetopyynnön yhdistää koodi takaisin alkuperäiseen. Mielenkiintoista on, että hyökkäys ei perustu vetopyynnön hyväksymiseen, mutta vain pyynnön tekeminen riittää Perdokin mukaan.

github-pilvi-infrastruktuuri, jota verkkorikolliset Justin perdok 2 käyttävät kyprosvaluutan louhintaan

Hyökkääjät kohdistavat tietovarastoja erityisesti automaattisilla työnkulkuilla, jotka testaavat saapuvia vetopyyntöjä automatisoitujen töiden kautta GitHub Actions -sovelluksella. Kun haitallinen vetopyyntö on jätetty, GitHub kehittää virtuaalikoneen koodin "testaamista" koskevaa pyyntöä varten, joka sisältää nyt salausvaluuttakaivurin, joka toimii teoriassa GitHubin infrastruktuurissa loputtomiin. Perdok totesi myös, että hänellä oli väärinkäytöksiä tällä tavoin, ja hän on myös nähnyt "hyökkääjät pyörien jopa 100 salauskaivosta vain yhden hyökkäyksen kautta, mikä loi valtavia laskennallisia kuormia GitHubin infrastruktuurille".

GitHub kertoo sähköpostissa, että se "on tietoinen tästä toiminnasta ja tutkii aktiivisesti", ja on tehnyt niin viime vuodesta, kun hyökkäys ilmoitettiin ensimmäisen kerran. Tämä on todennäköisesti melko vaikea korjata ongelma muuttamatta GitHub Actionsin toimintaa. Lisäksi, jos kiellät tilit, uudet tilit syntyvät melkein välittömästi. Joka tapauksessa meidän on nähtävä, kuinka GitHub reagoi oikein tähän tietoturvatapahtumaan, joten pysy kuulolla HotHardware päivityksiä varten.

(Kuvat: The Record ja Justin Perdok)

lähde

ad-bottom
ad-bottom
ad-bottom
ad-bottom

EI KOMMENTTEJA