Les serveurs de GitHub piratés pour du minage de crypto, l'entreprise enquête

Depuis des mois, GitHub subit des attaques à grandes échelle sur son infrastructure cloud. Les pirates profitent d'une fonctionnalité d'automatisation des tâches pour miner de la cryptomonnaie via les serveurs de la plateforme.

GitHub a lancé une enquête concernant de multiples attaques dont son infrastructure cloud a été victime. Les hackers ont exploité une vulnérabilité inhérente à une fonctionnalité du service pour miner de la cryptomonnaie à l'aide de ses serveurs.

Une fonctionnalité d'automatisation des tâches exploitée

Cette attaque dure depuis au moins novembre 2020. Les pirates ont ciblé la fonctionnalité GitHub Actions, qui permet aux utilisateurs de programmer le lancement automatique des tâches de travail suite à l'apparition d'un événement déclencheur préétabli dans l'un de leurs dépôts GitHub.

Pour ce faire, les hackers détournent les dépôts légitimes en injectant du code malveillant au code original. Ils parviennent à exécuter une pull request et à simuler une contribution à un projet à partir du dépôt original, puis à fusionner le code malveillant avec le code légitime au cours du processus.

L'objectif des pirates : miner de la crypto

Cette attaque cible les projets GitHub dont les administrateurs ont activé les tâches de travail automatisées, et qui ne requièrent donc aucune autorisation de la part du propriétaire.

Une fois qu'une pull request malveillante a été exécutée, les serveurs de GitHub travailleront pour les pirates. Ici en l'occurrence, ils ouvriront une machine virtuelle qui va télécharger, installer et exécuter un logiciel de minage cryptomonnaie.

Des centaines d'attaques de ce type sur l'infrastructure de GitHub ont déjà été recensées à ce jour. Les pirates frappent au hasard et à grande échelle. GitHub a identifié des comptes coupables de ces actes, mais il suffit aux attaquants de créer de nouveaux comptes pour recommencer. Une solution à long-terme à ce problème est en cours d'étude.

Source : TechXplore

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
6
7
Voir tous les messages sur le forum

Actualités récentes

Cette smart TV 4K Continental 58
Le pack volant de course Logitech G920 + levier Shifter est vraiment pas cher sur Cdiscount
Les prochains écouteurs WF-1000XM4 de Sony se dévoilent en images
Xbox Series X|S : le Dolby Vision HDR se précise, chez les insiders d'abord et demain pour tous
Cette petite souris sans fil Microsoft Wireless Mobile Mouse est à moins de 10€
MSI met le cap sur le ratio 16:10 et annonce de nouveaux appareils gaming et création
Epic Store : The Lion’s Song offert cette semaine, et une surprise prévue pour la semaine prochaine
Les PC portables modulaires et réparables Framework arriveront en Europe d'ici la fin de l'année
Ghostrunner 2 sera exclusif aux consoles nouvelle génération et aux PC
Gigabyte fait un commentaire sur la fabrication chinoise, perd 550 millions et... présente ses excuses
Haut de page