In einem automatisiert ablaufenden Angriff betreiben Unbekannte mittels GitHub Actions zurzeit aufwärts GitHub-Servern den Raubbau von Kryptowährungen.
(Bild: Sundry Photography/Shutterstock.com)
Developer Von
- Silke Hahn
Angreifer nutzen zurzeit GitHub Actions, um GitHub-Server zum Mining von Kryptowährung zu misshandeln. Der Malware-Angriff instrumentalisiert offenbar dasjenige CI/CD-Tool, um aufwärts jener Serverinfrastruktur von GitHub Kryptominer zu installieren und zu betreiben. GitHub Actions ist eine Software zu Händen Continuous Integration/Continuous Delivery (CI/CD) zum Automatisieren von Softwareprozessen, unter anderem nicht zuletzt zum automatisierten Durchführen regelmäßig wiederkehrender Aufgaben.
Malware lädt Kryptominer nachdem
Der niederländische IT-Sicherheitsexperte Justin Perdok hat aufwärts Twitter von dem Angriff berichtet und eine Liste betroffener Repositorys geteilt. Bei einem seiner eigenen GitHub-Konten konnte er vereinen ähnlichen Eingriff feststellen. Offenbar sind schon mindestens 95 Repositorys betroffen, aufwärts denen Kryptominer installiert sind. Die Malware lade die Kryptominer oben GitLab nachdem. GitHub untersucht zurzeit die Angriffsserie laut einem Bericht im Cyberintelligence-Portal The Record. Offenbar stillstehen präzise Projekte unter Beschuss, deren Maintainer automatisierte Workflows nutzen, die eingehende Pull Requests ebenfalls automatisiert prüfen.
Vergifteter Fork löst Angriff unter Pull Request aus
Im ersten Schritt erstellen die Angreifer vereinen Fork von einem echten Repository, dasjenige GitHub Actions aktiviert hat. In die geforkte Version injizieren sie Schadcode und urteilen dann vereinen Pull Request an die Maintainer des Original-Repository zum Zurückmergen des Codes. Ungünstigerweise bedarf es unter jener Attacke nunmehr wohl nicht jener Zustimmung jener Maintainer zum Merge des schädlichen Codes. Perdok zufolge genüge schon dasjenige Einbringen des Pull Requests, um den Angriff auszulösen.
Nach dem böswilligen Pull Request liest GitHubs System den Angreifercode aus und erstellt offenbar eine virtuelle Maschine, die die Software zum Mining von Kryptowährung aufwärts GitHubs eigenen Servern einrichtet. Dem niederländischen Sicherheitsforscher zufolge könnten die Angreifer mit jeder Attacke etwa 100 Kryptominer positionieren, welches GitHubs Infrastruktur mit hoher Rechenlast belade. Offenbar geschieht jener Angriff willkürlich und im großen Stil. Teils hätten einzelne Konten Hunderte von Pull Requests mit dem Schadcode erstellt.
Katz-und-Maus-Spiel mit GitHub
Die Angriffsserie ist wohl schon mindestens seit dem Zeitpunkt November 2020 in Gange, ein französischer Informatiker hatte wie Erster davon berichtet. GitHub-Sprecher hatten gegensätzlich jener Informationsplattform The Record mitgeteilt, dass dasjenige Unternehmen die Vorfälle untersuche und dagegen vorgehe. Unterbinden ließ sich die Taktik bislang nicht: So hätten die Angreifer stets neue Konten registriert, sowie die alten beim Verbreiten jener Malware erwischt und suspendiert worden waren. Der Schaden besteht zurzeit darin, dass die Angreifer GitHubs Infrastruktur zweckentfremden. Projekte betroffener Nutzer scheinen nun keinen Schaden zu nehmen.
Lesen Sie nicht zuletzt
„Missbrauch lohnt sich nicht“
Die Angriffe umstellen jedenfalls die Automatisierungssoftware GitHub Actions in ein ungünstiges Licht. So hatte jener Code Hoster im Herbst 2018 die Actions wie insbesondere sicher angekündigt und geringes Missbrauchspotential vorausgesagt. Der Head of Platform Sam Lambert hatte früher gegensätzlich heise online geäußert, dass man Missbrauch durch automatische Erkennung verhindern werde. Die Rechenleistung sei limitiert, „sodass ein Missbrauch, etwa als Kryptowährungsminer, nicht lohnt“. Diese Annahme darf durch die Angriffsserie inzwischen wie widerlegt gelten.
Quelle: www.heise.de