关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

黑客们正在利用Gitube助手挖矿

发布时间:2021-05-11 17:36:40

  为了在HW期间防止钓鱼,从今天开始,FreeBuf将解除投稿文章外部的所有链接。给您带来不便,请谅解~

  情况介绍

  据网络安全研究院透露,GitHub  Actions目前被攻击者滥用,黑客通过自动攻击方式在GitHub的服务器上进行加密货币挖掘活动。

  GitHub  Actions是一种CI/CD解决方案,它可以轻松地设置周期性任务,以实现软件工作流的自动化。

  此处描述的特定攻击是将恶意GitHub  Actions代码添加到从合法存储库派生的存储库中,并进一步发出拉动请求,以便原始存储库维护人员能够重新合并代码。

  但是,这些攻击活动不需要合法项目的维护人员执行任何任务,攻击也可以成功。

  研究人员还发现,恶意代码在GitLab中加载了错误命名的加密货币挖掘软件npm.exe,然后使用攻击者的加密货币钱包地址进行挖掘活动。

  报告相关事件后,研究人员还发现了很多以相同形式进行的对GitHub项目的攻击活动。

1.png

  Fork  legal代码,添加恶意代码,合并代码

  本周,一位名叫Justin  Perdok的荷兰安全工程师表示,攻击者选择了使用GitHub  Actions挖矿的GitHub项目库。

  这些代码库使用GitHub  Actions优化和实施CI/CD自动化和调度任务。

  这一特殊攻击利用GitHub自己的基础设施,并将恶意软件和加密货币挖掘软件传播到GitHub服务器。这种攻击方式还包括攻击者Fork的GitHub  Actions激活的合法代码库。攻击者随后将恶意代码注入Fork的代码库版本,并向原始代码库的维护人员提交拉动请求,重新合并代码。

  Perdok共享的屏幕截图显示,目前至少有95个代码库将成为攻击者的对象。

  但是令人惊讶的是,整个攻击过程不需要原始项目的维护人员批准攻击者发起的恶意拉入请求。

  Perdok表示,攻击者只要提交Pull请求,就可以触发攻击。

  特别是对于GitHub项目,有一个自动工作流设置,用于通过GitHub  Actions确认传入的拉动请求。为原始项目创建拉动请求后,GitHub系统将运行攻击者的代码,恶意代码将指示GitHub服务器搜索并运行加密的货币挖掘程序。

  从GitLab下载的加密货币挖掘软件npm.exe

  恶意拉入请求调用自动化代码,并指示GitLab服务器下载托管在GITLAB上的加密货币挖掘程序。此文件是标记错误的npm.exe。

2.jpg

  但是,该npm.exe文件是著名的加密货币挖掘程序,因此与官方NodeJS安装程序或节点软件包管理器(npm)无关。

  研究人员的分析显示,攻击者启动npm.exe文件时,钱包地址将作为参数传递。

npm.exe --algorithm argon2id_chukwa2

--pool turtlecoin.herominers.com:10380

--wallet TRTLv3ZvhUDDzXp9RGSVKXcMvrPyV5yCpHxkDN2JRErv43xyNe5bHBaFHUogYVc58H1Td7vodta2fa43Au59Bp9qMNVrfaNwjWP

--password xo

  在研究人员运行的测试中,加密货币挖掘程序连接到turtlecoin.herominers.com矿池,开始加密货币挖掘。

  还有利用XMRig进行模仿攻击

  发表相关研究报告后,研究人员又发现了大量模仿这种形式的攻击活动。在这些攻击活动中,攻击者也使用恶意Pull请求,并利用GitHub  Actions完成加密货币挖掘攻击。

3.jpg

  研究人员还发现,一些攻击活动将从XMRig的官方GitHub代码库中引入开源XMRig加密货币挖掘程序。

  模仿攻击中发现的钱包地址如下。

49eqpX3Sn2d5cfJTevgZLGZGQmcdE37QE4TMJDmDcJeCG8DUgkbS5znSsU35Pk2HC1Lt99EnSiP9g74XpUHzTgxw23n5CkB

  以下是攻击者的ci.yml文件中定义的矿池服务器列表。

  

4.jpg

  GitHub方面也表示已经知道事件的细节,并开始调查和解决这个问题。

  这不是第一次使用GitHub基础设施进行攻击,利用GitHub  Actions进行攻击的活动也越来越频繁。去年,研究人员报告说,攻击者利用GitHub的基础设施托管蠕虫僵尸网络Gitpaste-12。但是,与Gitpaste-12或Octopus  Scanner恶意软件(有漏洞的项目或设备)不同,这些特定攻击似乎只使用GitHub的服务器执行加密货币挖掘任务。



/template/Home/Qiggg/PC/Static