مهاجمان حوزه استخراج ارز دیجیتال با هدف قرار دادن منابع ابری، گیتهاب و ماشینهای مجازیِ Azure را به صورت غیرقانونی مورد حمله قرار دادند.
منبع : مرکز ماهر
مهاجمان حوزه استخراج ارز دیجیتال با هدف قرار دادن منابع ابری، گیتهاب و ماشینهای مجازیِ Azure را به صورت غیرقانونی مورد حمله قرار دادند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان در گزارشی اعلام کردند که مهاجمان میتوانند با دانلود و نصب مخربانه ماینرهای ارزهای دیجیتال خود از runnerها یا سرورهای ارائه شده توسط گیتهاب برای اجرای pipelines و اتوماسیون سازمان سوءاستفاده کنند و از این طریق به کسب درآمد بپردازند.
گیتهاب یک پلتفرم یکپارچهسازی و تحویل پیوسته (CI/CD) است که به کاربران این امکان را میدهد تا ساخت، آزمایش و استقرار نرمافزار را خودکار کنند. توسعهدهندگان میتوانند از این ویژگی برای ایجاد جریانهای کاری استفاده کنند که هر درخواست pull به یک repository کد را ایجاد و آزمایش میکند، یا درخواستهای pull ادغام شده را برای تولید، مستقر میکند.
هر دو رانر ویندوز و لینوکس بر روی ماشینهای مجازی Standard_DS۲_v۲ در Azure میزبانی میشوند و دارای دو vCPU و ۷ گیگابایت حافظه هستند.
محققان میگویند که کمتر از ۱۰۰۰، repository و بیش از ۵۵۰ نمونه کد را شناسایی کردهاند که از مزیت این پلتفرم برای استخراج ارزهای دیجیتال با استفاده از رانرهای ارائه شده توسط GitHub استفاده میکنند. سرویس میزبانی کد متعلق به مایکروسافت از این مشکل مطلع شده است.
علاوه بر این، ۱۱ repository کشف شد که انواع مشابهی از یک اسکریپت YAML حاوی دستوراتی برای استخراج سکههای Monero را در خود جای داده است که همگی بر روی یک کیف پول یکسان قرار دارند که نشان میدهد نتیجه کار یک فرد یا گروهی است که در یک راستا حرکت میکنند.
به گفته محققان، تا زمانیکه مهاجمان تنها از حسابهای کاربری و repositoryهای خود استفاده میکنند، کاربران نباید دلیلی برای نگرانی داشته باشند. مشکلات زمانی ایجاد میشوند که این GHAها در GitHub Marketplace به اشتراک گذاشته میشوند و یا به عنوان یک وابستگی برای سایر Actionsها استفاده میشود.
گروههای استخراجکننده ارز برای نفوذ به سیستمها از یک نقص امنیتی در سیستمهای هدف، مانند یک آسیبپذیری وصله نشده، پسوردهای ضعیف یا یک پیادهسازی ابری با پیکربندی نادرست، سوءاستفاده میکنند.
این مجموعه بدافزار همچنین از اسکریپتهای kill برای خاتمه دادن و حذف ماینرهای ارزهای دیجیتال رقیب، برای سوءاستفاده از سیستمهای ابری به نفع خود استفاده میکنند.
گیتهاب و ماشینهای مجازی Azure تحت تاثیر این حملات قرار دارند. به کاربران توصیه میشود در اسرع وقت بهروزرسانی و پیکربندی سیستمها را انجام دهند.