Злоумышленники использовали инфраструктуру GitHub для майнинга

Атаки начались минимум осенью 2020 года и происходят через функцию GitHub Actions. Функция GitHub Actions создана для автоматизации выполнения пользователями программных рабочих процессов, когда в их репозитории на GitHub происходят определенные события, например, автоматическая обработка Pull Request.

Голландский эксперт в сфере безопасности Джастин Педок утверждает, что есть по крайней мере одна атака на репозитории с включенной функцией. Злоумышленники создают fork репозитория, добавляют вредоносный код и отправляют запрос на принятие изменений в репозиторий.

Атака ориентирована на владельцев репозиториев, которые обрабатывают Pull Request не вручную, а автоматизируют при помощи Actions. Как только зловредный запрос подан, GitHub считывает код и запускает виртуальную машину, которая загружает и запускает криптомайнинговый софт на серверах GitHub.

По словам эксперта, за одну атаку хакеры могут запускать до 100 криптомайнеров, создавая огромную нагрузку на инфраструктуру компании. При этом проекты юзеров остаются невредимыми.

Педок рассказывает, что нашёл аккаунт, с которого созданы сотни Pull Request с нежелательным кодом. Впервые подобные атаки были замечены неким французским разработчиком в прошлом ноябре.

GitHub заявил изданию The Record, что знает о вредоносной деятельности на своей инфраструктуре и активно расследует её. Такой же ответ в прошлом году получил французский инженер.

Но судя по всему, особых подвижек в борьбе с атаками пока нет, поскольку хакеры просто заводят новые аккаунты после того, как старые нашли и забанили.