Actualmente GitHub se encuentra investigando una serie de ataques
que está dirigido a sus infraestructuras, dicho ataque permite a los
ciberdelincuentes utilizar los propios servidores de GitHub para el minado de
criptomonedas.
Según han encontrado en la investigación estos ataques están
siendo realizados desde finales de 2020, estos ataques se aprovechan de Github
Actions, esta característica se basa en responder de forma automática eventos
generados en un repositorio debido a la ejecución de flujos de trabajo de los
usuarios.
El inicio del proceso de este ataque es con un fork a un
repositorio legítimo, de esta forma se crea un flujo de trabajo malicioso de
Github Actions. Tras la creación de este workflow se crea una Pull Request,
esta no es más que una solicitud al repositorio original para que acepte estos
cambios realizados, siendo este momento cuando empieza toda la acción
maliciosa.
Por norma general los proyectos no permiten que repositorios
apruebe Pull Request automáticamente, aunque existen proyectos que, si
lo aceptan siendo estos proyectos los objetivos principales de esta campaña.
Tras aceptar uno de los Pull Rquest se activa uno de estos
flujos que contiene el código malicioso del atacante, una vez ejecutado este
código se lanza una máquina virtual que se encargara de descargar y ejecutar
software de minado de criptomonedas, en este proceso siempre se utiliza la
infraestructura de Github.
Aunque no exista una solución definitiva por parte de GitHub
a este problema, por el momento se están eliminando las cuentas de usuario con
actividad sospechosa.
