O GitHub, plataforma de desenvolvimento de software de propriedade da Microsoft, é a nova vítima de ataque cibernético, com relatos de que cibercriminosos estão utilizando a infraestrutura de nuvem para minerar criptomoedas. Funcionando também como serviço de hospedagem de repositório de código, o Github iniciou uma investigação da série de ataques.
Os hackers estão explorando o GitHub Actions, solução de integração contínua (CI) e implantação contínua (CD) que facilita a automatização de todos os fluxos de desenvolvimento de software e a configuração de tarefas periódicas. O ataque adiciona código malicioso a repositórios legítimos clonados e ainda envia uma solicitação pull request (pedido para trazer códigos para o repositório) aos mantenedores para juntá-lo de volta ao do repositório original.
O engenheiro de segurança holandês Justin Perdok disse ao site The Record que ao menos um operador de ameaças está visando repositórios do GitHub. O ataque envolve a clonagem de um repositório legítimo, a adição de ações maliciosas ao código original e, em seguida, o preenchimento de uma solicitação pull request para juntar o código de volta ao repositório original.
Veja isso
Cerca de 278 mil repositórios GitHub são afetados por falha crítica de rede
GitHub já pagou mais de US$ 1 mi em prêmios de bug bounty
“Mas o ataque não depende do proprietário original do projeto aprovar a solicitação pull request maliciosa. Apenas preencher o pull request já é o suficiente para o ataque”, disse Perdok. “Isso é particularmente verdadeiro para projetos GitHub que têm fluxos de trabalho automatizados, configurados para confirmar solicitações pull request recebidas. Assim que uma solicitação pull é criada para o projeto original, os sistemas do GitHub executam o código do invasor, que instrui os servidores a minerar criptomoeda.
Esta não é a primeira vez que um ataque se aproveita a infraestrutura do GitHub. Um ataque idêntico havia sido identificado anteriormente por outro programador, Yann Esposito, no qual um invasor havia preenchido uma solicitação de pull mal-intencionada contra o projeto GitHub dele.
No ano passado, o BleepingComputer relatou que o GitHub estava sendo usado para hospedar uma botnet wormable Gitpaste-12, que reapareceu com mais de 30 exploits no mês seguinte. Ao contrário do Gitpaste-12 ou do malware Octopus Scanner, que tinha como alvo projetos e computadores vulneráveis, esse ataque parece estar explorando exclusivamente servidores GitHub para minerar criptomoeda.Em um e-mail, o GitHub disse ao The Record que estava “ciente dessa atividade e estava investigando”. Por enquanto, o ataque não parece prejudicar os projetos dos usuários.
