GitHub行动正在积极滥用挖掘GitHub服务器的加密货币

2021-04-05 09:58:35

GitHub操作目前被攻击者滥用挖掘加密电机,使用GitHub'在自动攻击中的服务器。

GitHub操作是一种CI / CD解决方案,可以轻松自动化所有软件工作流程和设置定期任务。

特定攻击将恶意Github操作代码添加到从合法的存储库中签名,并进一步创建了原始存储库维护者的拉请求以合并代码,以改变原始代码。

但是,攻击成功的合法项目的维护者不需要行动。

BleepingComputer也观察到恶意代码从Gitlab加载误导加密矿工NPM.exe,并使用攻击者和#39; s钱包地址运行。

此外,在最初报告此事件之后,BleepingComputer在这种方式上遇到了Topting CopyCAT攻击。

本周根据荷兰安全工程师Justin Perdok,攻击者已经针对使用GitHub操作的GitHub存储库来挖掘Cryptocurrency。

然而,这种特殊的攻击滥用了GitHub'自己自己的基础架构,以在他们的服务器上传播恶意软件和矿井加密货币。 然后,它在叉式版本中注入恶意代码,并将对原始存储库维护者的拉索请求进行文件以合并代码。 Perdok共享的屏幕截图显示了威胁演员的至少95个存储库: 我的回购之一' s刚刚获得了类似的攻击。 有问题的帐户有一堆其他开放的PR'那样,目前有矿工运行。 https://t.co/pzxapykuo9 pic.twitter.com/zugl7mfk0k. - Justin Perdok(@Justinperdok)4月2日,2021年4月2日 但是,在一个意想不到的扭曲中,攻击不需要原始项目的维护者来批准恶意拉扯请求。 Perdok说,仅通过恶意攻击者提交拉出请求足以触发攻击。

对于具有自动工作流设置的GitHub项目尤其如此,以通过操作验证传入的拉出请求。

一旦为原始项目创建了拉拔请求,Github' S系统将执行攻击者' s代码,指示Github服务器检索并运行加密矿工。

恶意拉拉请求调用的自动代码指示GiHub Server下载托管的Gitlab上的加密矿工,该挖掘机是误标记的NPM.exe。

但是这个npm.exe与offiical nodejs安装程序或节点包管理器(NPM)无关。这是一个已知的加密矿工。

正如BleepingComputer的分析,攻击者启动NPM.exe,将钱包地址作为参数传递,以粗体显示在下方:

在测试运行的BleepingComputer中,exe连接到Turtlecoin.herominers.com Cryptocurrency Pool并开始其投币活动:

撰写本文后,BleepingComputer现在正在发生更多的CopyCat攻击,其中使用GitHub操作提交了可疑拉出请求。

我的同事Mark Dodgson是一个Sonatype的软件工程师,意识到了定位多个存储库的CopyCat攻击并通知我。 使上述恶意拉拔请求的用户帐户似乎已经完成了50多个合法存储库。 此图是迄今为止威胁演员针对的90多个存储库之外。 如BleepingComputer分析,此攻击的变化从官方Github存储库中释放到开源XMRIG Crypto-Miner中。 池中的服务器列表如下图所示的攻击者修改的CI.yml文件中: GitHub已经向他们意识到这项活动的记录表示,正在积极调查这项活动。 此前,另一个程序员Yann Esposito描述了一个相同的攻击,攻击者已经向Esposito和#39; S Github项目提起了恶意拉扯请求。

去年,BleepingComputer还报告了Github被滥用,以举办一个令人讨厌的僵尸网络Gitpaste-12,其中30个漏洞返回了下个月。 但是,与Gitpaste-12或章鱼扫描仪恶意软件不同,截至目前,此特殊攻击似乎仅仅是滥用Github服务器的加密挖掘任务。 Update 3-APR-21 9:42 AM ET:最近添加了Sonatype工程师发现的CopyCat攻击的更新。