GitHub investiga campanha de mineração cripto abusando de sua infraestrutura de servidor

O serviço de hospedagem de códigos GitHub está investigando ativamente uma série de ataques contra sua infraestrutura em nuvem que permitiu que cibercriminosos implantem e abusassem dos servidores da empresa para operações ilícitas de mineração de criptomoedas, disse um porta-voz ao The Record hoje.

Os ataques vêm acontecendo desde o outono de 2020 e abusaram de um recurso do GitHub chamado GitHub Actions, que permite que os usuários executem automaticamente tarefas e fluxos de trabalho uma vez que um determinado evento acontece dentro de um de seus repositórios do GitHub.

Em um telefonema hoje, o engenheiro de segurança holandês Justin Perdok disse ao The Record que pelo menos um ator de ameaças está mirando repositórios do GitHub onde as Ações do GitHub podem ser habilitadas.

O ataque envolve a falsificação de um repositório legítimo, adicionar ações maliciosas do GitHub ao código original e, em seguida, arquivar uma Solicitação de Retirada com o repositório original, a fim de fundir o código de volta ao original.

Mas o ataque não depende do proprietário original do projeto aprovar o pedido de atração malicioso. Apenas arquivar o Pedido de Retirada é suficiente para o ataque, disse Perdok.

O engenheiro de segurança holandês nos disse que os atacantes visam especificamente os proprietários de projetos do GitHub que têm fluxos de trabalho automatizados que testam solicitações de tração recebidas através de trabalhos automatizados.

Uma vez que uma dessas solicitações de pull maliciosas é arquivada, os sistemas do GitHub lerão o código do invasor e criarão uma máquina virtual que baixa e executa software de mineração de criptomoedas na infraestrutura do GitHub.

Imagem: Justin Perdok

Atacantes mineram criptomoedas nos próprios servidores do GitHub

Perdok, que teve projetos abusados dessa forma, disse que viu atacantes girar até 100 cripto-mineradores apenas através de um ataque, criando enormes cargas computacionais para a infraestrutura do GitHub.

Os atacantes parecem estar acontecendo aleatoriamente e em escala. Perdok disse que identificou pelo menos uma conta criando centenas de Pedidos de Retirada contendo código malicioso.

Imagem: Justin Perdok

Segundo Perdok, os ataques parecem estar acontecendo desde pelo menos novembro de 2020, quando a primeira instância foi relatada por um engenheiro de software francês.

Em um e-mail hoje, o GitHub disse ao The Record que eles estão “cientes dessa atividade e estão investigando ativamente”, a mesma coisa que disseram ao engenheiro francês no ano passado.

No entanto, a empresa parece estar jogando whack-a-mole com o atacante, como eles apenas registram novas contas uma vez que as antigas são detectadas e suspensas.

Por enquanto, o ataque não parece danificar os projetos dos usuários de forma alguma e parece estar focado apenas em abusar da infraestrutura do GitHub.