Cyberkriminelle nutzen GitHub Actions zum Schürfen von Kryptogeld
In einem automatisiert ablaufenden Angriff betreiben Unbekannte mittels GitHub Actions zurzeit auf GitHub-Servern den Raubbau von Kryptowährungen.
(Bild: Sundry Photography/Shutterstock.com)
- Silke Hahn
Angreifer nutzen zurzeit GitHub Actions, um GitHub-Server zum Mining von Kryptowährung zu missbrauchen. Der Malware-Angriff instrumentalisiert offenbar das CI/CD-Tool, um auf der Serverinfrastruktur von GitHub Kryptominer zu installieren und zu betreiben. GitHub Actions ist eine Software für Continuous Integration/Continuous Delivery (CI/CD) zum Automatisieren von Softwareprozessen, unter anderem auch zum automatisierten Durchführen regelmäßig wiederkehrender Aufgaben.
Malware lädt Kryptominer nach
Der niederländische IT-Sicherheitsexperte Justin Perdok hat auf Twitter von dem Angriff berichtet und eine Liste betroffener Repositorys geteilt. Bei einem seiner eigenen GitHub-Konten konnte er einen ähnlichen Übergriff feststellen. Offenbar sind bereits mindestens 95 Repositorys betroffen, auf denen Kryptominer installiert sind. Die Malware lade die Kryptominer über GitLab nach. GitHub untersucht zurzeit die Angriffsserie laut einem Bericht im Cyberintelligence-Portal The Record. Offenbar stehen gezielt Projekte unter Beschuss, deren Maintainer automatisierte Workflows nutzen, die eingehende Pull Requests ebenfalls automatisiert prüfen.
Vergifteter Fork löst Angriff bei Pull Request aus
Im ersten Schritt erstellen die Angreifer einen Fork von einem echten Repository, das GitHub Actions aktiviert hat. In die geforkte Version injizieren sie Schadcode und richten dann einen Pull Request an die Maintainer des Original-Repository zum Zurückmergen des Codes. Ungünstigerweise bedarf es bei der Attacke aber wohl nicht der Zustimmung der Maintainer zum Merge des schädlichen Codes. Perdok zufolge genüge bereits das Einbringen des Pull Requests, um den Angriff auszulösen.
Nach dem böswilligen Pull Request liest GitHubs System den Angreifercode aus und erstellt offenbar eine virtuelle Maschine, die die Software zum Mining von Kryptowährung auf GitHubs eigenen Servern einrichtet. Dem niederländischen Sicherheitsforscher zufolge könnten die Angreifer mit jeder Attacke etwa 100 Kryptominer platzieren, was GitHubs Infrastruktur mit hoher Rechenlast belade. Offenbar geschieht der Angriff willkürlich und im großen Stil. Teils hätten einzelne Konten Hunderte von Pull Requests mit dem Schadcode erstellt.
Katz-und-Maus-Spiel mit GitHub
Die Angriffsserie ist wohl bereits mindestens seit November 2020 in Gange, ein französischer Informatiker hatte als Erster davon berichtet. GitHub-Sprecher hatten gegenüber der Informationsplattform The Record mitgeteilt, dass das Unternehmen die Vorfälle untersuche und dagegen vorgehe. Unterbinden ließ sich die Taktik bislang nicht: So hätten die Angreifer stets neue Konten registriert, sobald die alten beim Verbreiten der Malware erwischt und suspendiert worden waren. Der Schaden besteht zurzeit darin, dass die Angreifer GitHubs Infrastruktur zweckentfremden. Projekte betroffener Nutzer scheinen dabei keinen Schaden zu nehmen.
"Missbrauch lohnt sich nicht"
Die Angriffe rücken jedenfalls die Automatisierungssoftware GitHub Actions in ein ungünstiges Licht. So hatte der Code Hoster im Herbst 2018 die Actions als besonders sicher angekündigt und geringes Missbrauchspotential vorausgesagt. Der Head of Platform Sam Lambert hatte damals gegenüber heise online geäußert, dass man Missbrauch durch automatische Erkennung verhindern werde. Die Rechenleistung sei limitiert, "sodass ein Missbrauch, etwa als Kryptowährungsminer, nicht lohnt". Diese Annahme darf durch die Angriffsserie inzwischen als widerlegt gelten.
(sih)