Warnung der PSW GROUP Angreifer nutzen GitHub Actions für Kryptomining

Autor / Redakteur: Martin Hensel / Peter Schmitz

Die Security-Spezialisten der PSW GROUP fordern, dass Microsofts Entwicklerplattform GitHub besser vor Kryptomining geschützt werden muss. Angreifer nutzen demnach GitHub Actions, um entsprechende Malware zu verteilen.

Firma zum Thema

Per Schadcode nutzen Angreifer GitHub-Server zum Kryptomining.
Per Schadcode nutzen Angreifer GitHub-Server zum Kryptomining.
(Bild: B_A / Pixabay )

Kryptowährungen sind nach wie vor ein Hype-Thema und erfreuen sich großer Aufmerksamkeit. Das zieht aber leider auch Cyberkriminelle an, wie die Sicherheitsexperten der PSW GROUP warnen. „Auch Kriminelle haben Kryptowährungen für sich entdeckt und versuchen über Entwicklerplattformen, Gewinne durch Crypto Mining zu erzielen“, erklärt Geschäftsführerin Patrycja Schrenk.

Dazu zählt auch Microsoft GitHub. Angreifern sei es gelungen, GitHub Actions auszunutzen und die Server zum Kryptomining zu missbrauchen. „Offenbar wird für den Malware-Angriff das CI/ CD-Tool verwendet, um Kryptominer auf GitHubs Serverinfrastruktur zu installieren“, so Schrenk. Mindestens 95 Repositories sollen mittlerweile infiziert sein. Über GitHub könne die Malware die Kryptominer einfach nachladen. „Bisherigen Erkenntnissen zufolge sind ganz konkret Projekte betroffen, deren Maintainer auf automatisierte Workflows setzen, bei denen eingehende Pull Requests ebenfalls automatisiert geprüft werden“, verdeutlicht die Expertin.

Raffinierte Vorgehensweise

Die Angreifer gehen laut der PSW GROUP geschickt vor: Zunächst wird ein Fork eines echten Repositories erstellt, das GitHub Actions aktiviert hat. Dann wird Schadcode injiziert und anschließend per Pull Request der Maintainer kontaktiert, um den Code zurück zu mergen. Besonders ungünstig ist dabei die Tatsache, dass keine Zustimmung des Maintainers zum Mergen des Schadcodes erforderlich ist. Das GitHub-System liest nach dem Pull Request den Code des Angreifers aus und erstellt eine virtuelle Maschine, die Kryptomining-Software auf den GitHub-Servern einrichtet und ausführt. Jede Attacke installiert unzählige Kryptominer und erzeugt eine immense Rechenlast auf der GitHub-Infrastruktur.

Ein neues Problem ist das allerdings nicht: „Microsoft weiß seit Oktober 2020 davon. Seither ist man bemüht, eine Lösung zu finden, die nicht nur die Sicherheit der Repositories erhöht, sondern auch dafür sorgt, dass der Nutzen des Tools nicht beschnitten werden muss“, so Schrenk. Geplant sei das Verhalten der GitHub Actions in Pull Requests für Projekte zu ändern, die über Forks eingereicht werden. Beiträge von Ersteinreichern sollen eine manuelle Freigabe erhalten. „Das ist jedoch nur ein erster Schritt, eine endgültige Lösung ist noch nicht in Sicht. Als GitHub die Actions im Jahr 2018 einführte, wurde die Automatisierungssoftware als besonders sicher angepriesen. So sei die Rechenleistung limitiert, damit ein Missbrauch, etwa als Kryptowährungsminer, nicht lohnt. Eine Sichtweise, die heute überholt sein dürfte“, meint Schrenk.

(ID:47699033)