- Статус
- Offline
- Регистрация
- 22 Июн 2018
- Сообщения
- 1,508
- Реакции
- 13
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Интересно, что Пердок был не первым, кто заметил такие атаки, он лишь привлек внимание к проблеме: первым их обнаружил французский исследователь, известный как Tib, который писал, что атаки начались еще в ноябре 2020 года и продолжаются до сих пор.
Пердок рассказывает, что всё строится на создании форка легитимного репозитория, добавлении вредоносных GitHub Actions к исходному коду, а затем отправке Pull Request для слияния кода обратно с оригиналом.
При этом хакер не полагается на удачу, то есть владелец исходного проекта вовсе не должен утвердить этот вредоносный Pull Request. Пердок говорит, что для атаки достаточно и самого факта отправки Pull Request. Так, по информации специалиста, злоумышленники специально выбирают мишенями владельцев репозиториев, которые используют автоматизацию рабочих процессов, то есть проверяют входящие Pull Request с помощью автоматизированных заданий.
В итоге, после отправки вредоносного запроса системы GitHub обрабатывают код злоумышленника и запускают виртуальную машину, которая загружает и запускает софт для майнинга криптовалюты в инфраструктуре GitHub. Эксперты Bleeping Computer рассказывают, что майнер маскируется под npm.exe и связывается с пулом turtlecoin.herominers.com.
Пердок пишет, что и сам стал жертвой злоумышленников и наблюдал, как те использовали до 100 майнеров в рамках всего одной атаки.
сперт полагает, что хакеры действуют случайным образом и с большим размахом. Так, он идентифицировал по крайней мере одну учетную запись, создающую сотни Pull Request с вредоносным кодом.
Представители GitHub уже сообщили СМИ, что им известно о происходящем, и они активно расследуют эти майнинговые злоупотребления. Впрочем, такой же ответ в компании дали и французскому инженеру в прошлом году.
Судя по всему, пока компания борется с хакером, блокируя его учтенные записи, однако злоумышленник просто регистрирует новые, как только старые обнаруживают и банят.
Хуже того, Bleeping Computer сообщает, что после публикации данных об этих атаках в сети появились подражатели, злоупотребляющие такими же методами и использующие инфраструктуру GitHub для майнинга. К примеру, один из подражателей отправил более 50 вредоносных запросов легитимными репозиториями. По данным издания, подражатели используют опенсорсный майнер XMRig и не стесняются загружать его прямо из официального репозитория на GitHub.
