El servicio de alojamiento de código GitHub, propiedad de Microsoft, está investigando una serie de ataques contra su infraestructura en la nube que permitieron a los ciberdelincuentes piratear sus servidores y utilizarlos para minar criptomonedas.
La noticia la ha adelantado el medio The Record y, según informa, los ataques han estado ocurriendo desde otoño de 2020 y se llevan a cabo abusando de GitHub Actions, una función de GitHub que permite a los usuarios ejecutar tareas y flujos de trabajo automáticamente una vez que se produce un evento determinado dentro de sus repositorios.
Este medio ha mantenido una entrevista telefónica con el ingeniero de seguridad holandés Justin Perdok, quien ha señalado que al menos un actor de amenazas está apuntando a los repositorios de GitHub en los que la función de GitHub Actions podría estar habilitada.
Para lanzar el software de minería de criptomonedas, los atacantes bifurcan un repositorio existente, añaden acciones de GitHub maliciosas al código original, y después presentan una Pull Request para fusionar sus cambios en el repositorio original.
Como explica Perdok, el ataque no depende de que el propietario original del proyecto apruebe la Pull Request maliciosa. Basta con solicitarla porque una vez que se presenta una de estas peticiones de extracción maliciosas, los sistemas de GitHub leerán el código del atacante y activarán una máquina virtual que descarga y ejecuta software de minería de criptomonedas en la infraestructura de GitHub.
Ataques a gran escala que GitHub está investigando activamente
En su conversación con The Record, Perdok también ha indicado que los ataques se vienen sucediendo como mínimo desde noviembre del 2020, cuando un ingeniero de software francés denunció el primer caso. Además, el ingeniero de seguridad holandés ha afirmado que ha observado a los atacantes girar hasta 100 cripto-mineros a través de un solo ataque y que ha identificado al menos una cuenta que crea cientos de solicitudes de extracción que contienen código malicioso.
GitHub ha reconocido esta campaña de minería de criptomonedas en un e-mail a The Record en el que manifiesta que están "al tanto de esta actividad y están investigando activamente". Sin embargo, The Report subraya que esto mismo fue lo que le dijeron al desarrollador francés en noviembre del año pasado y que debería ser más contundente en su respuesta contra los atacantes ya que simplemente registran nuevas cuentas una vez que las antiguas son detectadas y suspendidas.
"Por ahora, el ataque no parece dañar de ninguna manera los proyectos de los usuarios y parece estar enfocado únicamente en abusar de la infraestructura de GitHub", sentencia el citado medio.