Github-tjänster är under utredning efter en serie rapporter om attacker mot en av dess infrastrukturer genom att köra obehöriga kryptogruvappar. Cyberkriminella utnyttjade påstås vissa säkerhetsfel som kunde ha utnyttjats för att bryta kryptos olagligt.
Attacker utnyttjar ‘Github Actions’
Enligt The Record upptäckte en holländsk säkerhetsingenjör, Justin Perdok, en cyberattacker riktad mot förvar som tillhör Github. Attacker har ägt rum sedan november 2020, heter det i rapporten.
Perdok påpekade att serien av attacker “missbrukade en Github-funktion som heter Github Actions”, som tillåter användare att automatiskt utföra arbetsflöden och uppgifter endast när en viss händelse inträffar och sedan dra avtryckaren på förvaren.
Med detta sagt utnyttjar hotaktörer förvaren där Github Actions redan är aktiverade. Posten gav detaljer om hur attacken äger rum:
Attacken innebär att ett legitimt förråd lagras, att skadliga GitHub-åtgärder läggs till i den ursprungliga koden och sedan skickar en Pull-begäran till originalförvaret för att slå samman koden tillbaka till originalet.
Ingenjören klargjorde dock att angriparen bara behöver fylla “Pull Request” för att distribuera de skadliga arbetsflödena. När den väl har laddats kommer Githubs system att luras, eftersom den läser angriparens kod och sedan laddar ner en kryptogruppsprogramvara automatiskt.
100 Crypto Mining Apps implementeras i en enda attack
Men den skadliga kampanjen verkar vara kraftfull än tänkt, som Perdok berättade för The Reported att han redan upptäckte hackare som distribuerar nästan 100 krypto-gruvappar – som Srbminer – i en enda attack för att bryta flera kryptovalutor.
Ändå verkar attacken inte utgöra någon fara för användarnas projekt på plattformen.
Github kommenterade redan frågan och sa att de är medvetna om problemet och “undersöker aktivt.” Perdok uppgav dock att Github gav honom samma kommentar förra året när han rapporterade bristen.
Vad tycker du om denna brist i Githubs infrastruktur? Låt oss veta i kommentarfältet nedan.
Bildkrediter: Shutterstock, Pixabay, Wiki Commons
varning: Den här artikeln är endast informativ. Det är inte ett direkt erbjudande eller uppmaning till ett erbjudande om att köpa eller sälja, eller en rekommendation eller godkännande av några produkter, tjänster eller företag. Bitcoin.com tillhandahåller inte investerings-, skatte-, juridiska eller bokföringsråd. Varken företaget eller författaren ansvarar, direkt eller indirekt, för skada eller förlust som orsakats eller påstås orsakas av eller i samband med användning av eller beroende av innehåll, varor eller tjänster som nämns i denna artikel.
