끊임없는 암호화 채굴 공격에 악용되는 GitHub 서버 인프라

광고 - 중반
광고 - 중반
광고 - 중반
광고 - 중반

끊임없는 암호화 채굴 공격에 악용되는 GitHub 서버 인프라

히어로 2 사이버 범죄자들이 암호 화폐 채굴에 사용하는 github 클라우드 인프라
지난달 말, 우리는 일부 비즈니스의 종말로 이어질 수있는 전 세계적으로 증가하는 사이버 보안 사고 추세에 대해보고했습니다. 이제 가장 최근의 사이버 공격 피해자는 Microsoft 소유의 GitHub이며, 사이버 범죄자들이 GitHub 클라우드 인프라를 활용하여 암호 화폐를 채굴했습니다.

적어도 2020 년 가을부터 공격자들은 저장소 내에서 이벤트가 발생하면 사용자가 작업과 워크 플로를 자동화 할 수있는 GitHub Actions라는 기능을 악용 해 왔습니다. 트리거되면 GitHub 작업은 VM 또는 컨테이너를 스풀 업하여 일반적으로 라이브 환경에서 코드를 테스트 할 수 있습니다. 전화로 기록, 네덜란드 보안 엔지니어 Justin Perdok은 "적어도 한 명의 위협 행위자가 GitHub Actions가 활성화 될 수있는 GitHub 저장소를 표적으로 삼고 있습니다."라고 설명했습니다.

사이버 범죄자들이 암호 화폐 채굴에 사용하는 github 클라우드 인프라 저스틴 퍼독

이 공격은 GitHub 저장소에서 합법적 인 코드를 포크하거나 복사 한 다음 악성 콘텐츠를 추가하는 방식으로 작동합니다. 콘텐츠가 사본에 삽입되면 사이버 범죄자는 코드를 원본과 다시 병합하기 위해 Pull Request를합니다. 흥미롭게도 공격은 승인되는 Pull Request에 의존하지 않지만 Perdok에 따르면 요청 만하는 것으로 충분합니다.

사이버 범죄자들이 암호 화폐 채굴에 사용하는 github 클라우드 인프라 justin perdok 2

공격자는 특히 GitHub Actions를 사용하여 자동화 된 작업을 통해 들어오는 pull 요청을 테스트하는 자동화 된 워크 플로로 리포지토리를 표적으로 삼습니다. 악성 Pull Request가 접수되면 GitHub는 코드를 "테스트"하기위한 요청을 위해 VM을 가동합니다. 여기에는 이제 이론적으로 GitHub의 인프라에서 무기한 실행되는 암호 화폐 채굴 기가 포함됩니다. Perdok은 또한 프로젝트가 이러한 방식으로 악용되었으며 "공격자가 한 번의 공격만으로 최대 100 명의 암호화 채굴자를 회전시켜 GitHub의 인프라에 막대한 계산 부하를 발생시키는"것을 목격했다고 말했습니다.

GitHub는 이메일에서 "이 활동을 인식하고 적극적으로 조사 중"이라고 설명하며 공격이 처음보고 된 작년부터 그렇게하고 있습니다. 이는 GitHub 작업의 작동 방식을 변경하지 않고 수정하기가 다소 어려운 문제 일 수 있습니다. 또한 계정을 금지하면 새 계정이 거의 즉시 생성됩니다. 어쨌든 GitHub가이 보안 사고에 어떻게 적절하게 대응하는지 확인해야합니다. HotHardware 업데이트.

(이미지 제공 : The Record 및 Justin Perdok)

출처

광고 하단
광고 하단
광고 하단
광고 하단

의견 없음