News

GitHub Actions Kryptomining: Cyberkriminelle schürfen Kryptogeld

20. Juli 2021 von PSW GROUP Redaktion

github-actions-kryptomining (1)
©jd-photodesign stock.adobe.com

5
(2)

Kryptowährungen erleben derzeit einen Höhenflug – nicht zuletzt durch mediale Berichterstattungen über Tesla-CEO Elon Musk, der Dogecoin hypt, oder Facebook, Spotify und Uber, die Diem pushen wollen. Ethereum, Bitcoin und Co. sind nahezu täglich Teil der Schlagzeilen. Mit diesen Kryptowährungen kommen auch dunklere Akteure ans Tageslicht: Kriminelle, die versuchen, nun über Entwicklerplattformen Gewinne durch Crypto Mining zu erzielen. Zu diesen Entwicklerplattformen gehört auch GitHub – und diese Plattform möchte das Problem mit den Kryptominern jetzt angehen. Im heutigen Beitrag erfahren Sie, wie Unbekannte über GitHub Actions Kryptomining betreiben und was Microsoft dagegen zu tun gedenkt.

Malware infiziert unzählige Repositories

Microsofts Entwickler-Plattform GitHub muss besser vor Crypto Mining geschützt werden: Angreifenden ist es gelungen, GitHub Actions auszunutzen, um die Server zum Kryptomining zu missbrauchen. Offenbar wird für den Malware-Angriff das CI/ CD-Tool (Software für Continuous Integration/ Continuous Delivery für automatisierte Software-Prozesse) verwendet, um Kryptominer auf GitHubs Serverinfrastruktur zu installieren.

Auf Twitter berichtete Justin Perdok, IT-Sicherheitsexperte aus den Niederlanden, von dem Angriff und zeigte eine Liste betroffener Repositories. Perdoks Erkenntnissen zufolge seien mindestens 95 Repositories mit Kryptominern infiziert. Über GitLab könne die Malware die Kryptominer einfach nachladen. Bisherigen Erkenntnissen zufolge sind ganz konkret Projekte betroffen, deren Maintainer auf automatisierte Workflows setzen, bei denen eingehende Pull Requests ebenfalls automatisiert geprüft werden.

GitHub Actions Kryptomining: Schadcode in geforkten Versionen

Die Angreifenden gehen geschickt vor: Zunächst wird ein Fork von echten Repositories erstellt, welches GitHub Actions aktiviert hat. Die Angreifenden injizieren Schadcode in die geforkte Version des Repositorys, um sich dann mittels Pull Request an den Maintainer zu wenden, um den Code zurück zu mergen. Ungünstig dabei ist die Tatsache, dass die Zustimmung des Maintainers zum Mergen des Schadcodes nicht benötigt wird. Perdok zeigte auf, dass das Einbringen des Pull Requests ausreichend sei, um Angriffe dieser Art auszulösen.

GitHubs System jedenfalls liest nach dem Pull Request den Angreifercode aus, um dann eine virtuelle Maschine zu erstellen, die die Software zum Kryptomining auf GitHubs hauseigenen Servern einrichtet und den Schadcode ausführt. Perdok zufolge wären Angreifende mit jeder Attacke in der Lage, 100 Kryptominer zu platzieren. Für GitHubs Infrastruktur bedeute dies eine immense Rechenlast.

Perdok sieht, dass die Angriffe willkürlich und in großem Stil ausgeführt werden. So sei ihm aufgefallen, dass einzelne Accounts Hunderte von Pull Requests mit dem entsprechenden Schadcode erstellt haben.

GitHub Actions Kryptomining: Microsoft sucht nach Lösungen

Dass GitHub Actions für Crypto Mining ausgenutzt werden, ist leider kein neues Problem: Microsoft weiß seit Oktober 2020 davon. Seither ist man bemüht, eine Lösung zu finden, die nicht nur die Sicherheit der Repositories erhöht, sondern auch dafür sorgt, dass der Nutzen des Tools nicht beschnitten werden muss. Im GitHub Blog erklärte Chris Patterson im April 2021, welche Schritte nun geplant sind, um das GitHub Actions Kryptomining zu beenden:

Dem Beitrag zufolge hätten Angreifende schon immer versucht, die CI/CD-Systeme zum Crypto Mining zu missbrauchen, der Hype um die Kryptowährungen habe die Lage jedoch zum „eskalieren“ gebracht. Deshalb möchte GitHub das Verhalten der GitHub Actions in Pull Requests von jenen Projekten ändern, die über Forks eingereicht werden. Beiträge, die von Ersteinreichern stammen, sollen nur manuell durch den Maintainer freigegeben werden können.

Das ist nur ein erster Schritt, eine endgültige Lösung ist noch nicht in Sicht. Als GitHub die Actions im Jahr 2018 einführte, wurde die Automatisierungssoftware als besonders sicher angepriesen. Gegenüber heise online äußerte Sam Lambert als Head of Platform seinerzeit, dass die Rechenleistung limitiert sei, „sodass ein Missbrauch, etwa als Kryptowährungsminer, nicht lohnt“. Eine Sichtweise, die heute überholt sein dürfte.

 

Gender-Disclaimer:
Zur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum für Substantive und meinen damit alle natürlichen Personen unabhängig ihres Geschlechts.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 2



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu