GitHubのサーバーを仮想通貨マイニングに利用する攻撃の存在が判明、GitHub Actionsを悪用
ソフトウェアワークフローを自動化してくれる「GitHub Actions」を悪用する形で、GitHubのサーバーが暗号資産(仮想通貨)マイニングに利用されていることが判明しました。
GitHub Actions being actively abused to mine cryptocurrency on GitHub servers
https://www.bleepingcomputer.com/news/security/github-actions-being-actively-abused-to-mine-cryptocurrency-on-github-servers/
ニュースサイト・Bleeping Computerの報告によると、攻撃はまず、GitHub Actionsを有効にしている正当なリポジトリをフォークするところから始まり、フォークされたバージョンに悪意のあるコードを挿入。そして、元のリポジトリのメンテナーに、コードをマージして戻すためのプルリクエストを提出する、という形で行われます。
実際に攻撃を受けたリポジトリのスクリーンショットはこんな感じ。
One of my repo's just got hit with a similar attack. Account in question has a bunch of other open PR's that currently have miners running. https://t.co/PZxApykuO9 pic.twitter.com/zugl7mFK0K
— Justin Perdok (@JustinPerdok)
この攻撃を報告したJustin Perdok氏によると、攻撃のトリガーは「プルリクエストの提出」であって、プルリクエストが承認される必要はないとのこと。
Bleeping Computerによれば、悪意のあるプルリクエストはGitLabにホストされている「npm.exe」をダウンロードするようにGitHubのサーバーに要求。この「npm.exe」はNode.jsのインストーラーやNode Package Managerとは無関係なマイニングプログラムで、攻撃者の提供した引数とウォレットアドレスを介して、マイニングを実行するとのことです。
なお、過去にもGitHub Actionsを介してGitHubのインフラを悪用する攻撃はあり、ボットネットがホストされたこともありましたが、今回の攻撃はあくまでサーバーをマイニングのために使っているだけであるとみられています。
・関連記事
スーパーコンピューターで仮想通貨マイニングをもくろむサイバー攻撃が発生 - GIGAZINE
ルーターの脆弱性のせいでPCでこっそり仮想通貨をマイニングさせられる被害が拡大中 - GIGAZINE
仮想通貨マイニングPCのウォレットアドレスを書き換えて採掘コインを根こそぎ奪う恐るべきマルウェア「Satori Coin Robber」 - GIGAZINE
天然ガス発電所が60億円超を費やしてビットコインマイニング設備を導入 - GIGAZINE
中国で大規模な仮想通貨マイニング工場に洪水被害 - GIGAZINE
ユーザーのCPUを勝手に使用し仮想通貨のマイニングを行う「Coinhive」はどこに消えたのか? - GIGAZINE
アポロ計画に使われたコンピューターで「Bitcoinのマイニング」を行った猛者が登場 - GIGAZINE
ゲームボーイでビットコインをマイニングする猛者が登場、単3電池4本で採掘可能 - GIGAZINE
・関連コンテンツ
