Las acciones de GitHub y las máquinas virtuales (VM) de Azure se están aprovechando para la minería de criptomonedas basada en la nube, lo que indica intentos sostenidos por parte de actores malintencionados de apuntar a los recursos de la nube con fines ilícitos.
«Los atacantes pueden abusar de la corredores o servidores proporcionados por GitHub para ejecutar las canalizaciones y la automatización de una organización mediante la descarga e instalación malintencionada de sus propios mineros de criptomonedas para obtener ganancias fácilmente», dijo Magno Logan, investigador de Trend Micro. dijo en un informe la semana pasada.
Acciones de GitHub (GHA) es una plataforma de integración continua y entrega continua (CI/CD) que permite a los usuarios automatizar la canalización de desarrollo, prueba e implementación de software. Los desarrolladores pueden aprovechar la función para crear flujos de trabajo que construyan y prueben cada solicitud de extracción en un repositorio de código o implementen solicitudes de extracción fusionadas en producción.
Tanto los corredores de Linux como los de Windows están alojados en Estándar_DS2_v2 máquinas virtuales en Azure y vienen con dos CPU virtuales y 7 GB de memoria.
La compañía japonesa dijo que identificó no menos de 1000 repositorios y más de 550 muestras de código que aprovechan la plataforma para extraer criptomonedas utilizando los corredores proporcionados por GitHub, que ha sido notificado del problema.
Además, se encontraron 11 repositorios que albergan variantes similares de un script YAML que contiene comandos para extraer monedas Monero, todos los cuales se basaron en la misma billetera, lo que sugiere que es obra de un solo actor o de un grupo que trabaja en conjunto.
«Mientras los actores maliciosos solo usen sus propias cuentas y repositorios, los usuarios finales no deberían tener motivo de preocupación», dijo Logan. «Surgen problemas cuando estos GHA se comparten en GitHub Marketplace o se usan como una dependencia para otras acciones».
Se sabe que los grupos orientados al cryptojacking se infiltran en las implementaciones de la nube a través de la explotación de una falla de seguridad dentro de los sistemas de destino, como una vulnerabilidad sin parches, credenciales débiles o una implementación de la nube mal configurada.
Algunos de los actores destacados en el panorama de la minería ilegal de criptomonedas incluyen 8220, Keksec (también conocido como Kek Security), Kinsing, Proscritoy TeamTNT.
El conjunto de herramientas de malware también se caracteriza por el uso de scripts de eliminación para terminar y eliminar a los mineros de criptomonedas de la competencia para abusar de los sistemas en la nube en su propio beneficio, y Trend Micro lo llama una batalla «luchada por el control de los recursos de la víctima».
Dicho esto, el despliegue de criptomineros, además de incurrir en costos de infraestructura y energía, también es un barómetro de higiene de seguridad deficiente, lo que permite a los actores de amenazas armar el acceso inicial obtenido a través de una configuración incorrecta de la nube para objetivos mucho más dañinos, como la exfiltración de datos o el ransomware.
«Un aspecto único […] es que los grupos de actores maliciosos no solo tienen que lidiar con los sistemas de seguridad y el personal de una organización objetivo, sino que también tienen que competir entre sí por recursos limitados», dijo la compañía señalado en un informe anterior.
«La batalla por tomar y retener el control de los servidores de una víctima es una fuerza impulsora importante para la evolución de las herramientas y técnicas de estos grupos, lo que los impulsa a mejorar constantemente su capacidad para eliminar a los competidores de los sistemas comprometidos y, al mismo tiempo, resistir su eliminación propia”.