GitHub-Projekte betreiben automatisch Kryptomining für Angreifer

Christian Kahle am 06.04.2021 10:32 Uhr
Bei Microsofts Entwickler-Plattform GitHub sucht man nach einem Weg, mit dem Funktionen nicht eingeschränkt werden müssen, das Angebot aber trotzdem nicht mehr von Angreifern für das Kryptomining missbraucht werden kann.

Entsprechende Attacken gab es seit dem letzten Herbst mehrfach, berichtet das Magazin The Record. Im Fokus stand dabei ein Feature namens GitHub Actions, das es Nutzern erlaubt, regelmäßig auftretende Aufgaben zu automatisieren. Dies wurde hier nun genutzt, um fremden Code in Repositories einzuschleusen, ohne dass die eigentlichen Entwickler dies direkt mitbekamen.

Die Angreifer haben dafür einen Fork des originalen Projektes angelegt und den Schadcode in diesen integriert. Über einen Pull-Request sorgten sie dann für eine erneute Zusammenführung mit dem Ausgangs-Code. Dies konnte gelingen, ohne dass der eigentliche Betreiber des Projektes eine Zustimmung geben musste.

Möglich machte dies allerdings keine Sicherheitslücke, die vom Betreiber der Plattform verschuldet worden wäre. Vielmehr hatten die Betreiber der jeweiligen Entwicklungsprojekte selbst GitHub Actions-Skripte angelegt, mit denen Code unter bestimmten Voraussetzungen automatisch hereingeholt wurde. Das konnte nun eben genutzt werden, um auch Schadcode einzuschleusen.

Schaden nur für Microsoft

Die Angreifer hielten sich auch nicht lange mit der Hoffnung auf, dass die jeweilige Software dann irgendwann auf Rechnern von Nutzern landet und dort für das Kryptomining eingesetzt werden kann. Stattdessen wurden die Routinen so umgesetzt, dass GitHub selbst eine virtuelle Maschine in der Microsoft-Cloud startete, die dann die entsprechende Aufgabe erledigte.

Das GitHub-Team kennt dieses Vorgehen nach eigenen Angaben bereits seit einiger Zeit. Aktuell gibt es aber noch keine endgültige Lösung. Da die Attacken keine direkten Schäden für die Entwicklungsprojekte darstellen, sondern "nur" auf die GitHub-Infrastruktur abzielen, beschränkt man sich bisher darauf, die immer neu auftauchenden Accounts der Angreifer zu finden und abzuschalten, statt gleich ganze Features stillzulegen.

Siehe auch:

Kommentare lesen & antworten
Jede Woche neu: Top-News per E-Mail
Folge WinFuture auf Google News
Verwandte Themen
Cloud
Desktop-Version anzeigen
Hoch © 2021 WinFuture Impressum Datenschutz Cookies