На серверах GitHub орудуют криптомайнеры. Компания ведёт расследование

Атаки начались минимум осенью 2020 года и происходят через функцию GitHub Actions, которая позволяет автоматизировать рутинные задачи в репозиториях.

Голландский эксперт в сфере безопасности Джастин Педок утверждает, что есть по крайней мере с одна атака на репозитории с включенной функцией. Злоумышленники создают форк репозитория, добавляют вредоносный код в кодовую базу и отправляют запрос на принятие изменений в репозиторий.

Атака ориентирована на владельцев репозиториев, которые обрабатывают пулл-реквесты не вручную, а автоматизируют при помощи Actions. Как только зловредный запрос подан, GitHub считывает код и запускает виртуальную машину, которая загружает и запускает криптомайнинговый софт на серверах GitHub.

По словам Педока, который сам стал жертвой такой схемы, за одну атаку хакеры могут запускать до 100 криптомайнеров, создавая огромную нагрузку на инфраструктуру компании. При этом пользовательские проекты остаются невредимыми.

Как отмечает The Record, атакующие действуют бессистемно и с размахом. Педок рассказывает, что нашёл аккаунт, с которого созданы сотни пулл-реквестов с нежелательным кодом. Впервые подобные атаки были замечены неким французским разработчиком в прошлом ноябре.

GitHub в электронном сообщении The Record заявил, что знает о вредоносной деятельности на своей инфраструктуре и активно расследует её. Такой же ответ в прошлом году получил французский инженер.

Но судя по всему, пишет издание, особых подвижек в борьбе с атаками пока нет, поскольку хакеры просто заводят новые аккаунты после того, как старые выявили и забанили.