Tindakan GitHub dan mesin virtual Azure (VM) sedang dimanfaatkan untuk penambangan cryptocurrency berbasis cloud, menunjukkan upaya berkelanjutan dari pihak pelaku jahat untuk menargetkan sumber daya cloud untuk tujuan terlarang.
“Penyerang dapat menyalahgunakan runner atau server yang disediakan oleh GitHub untuk menjalankan jaringan pipa dan otomatisasi organisasi dengan mengunduh dan menginstal penambang cryptocurrency mereka sendiri secara jahat untuk mendapatkan keuntungan dengan mudah,” kata peneliti Trend Micro Magno Logan dalam sebuah laporan minggu lalu.
GitHub Actions (GHA) adalah platform continuous integration and continuous delivery (CI/CD) yang memungkinkan pengguna mengotomatiskan pembuatan, pengujian, dan pengembangan perangkat lunak. Pengembang dapat memanfaatkan fitur tersebut untuk membuat alur kerja yang membangun dan menguji setiap permintaan tarik ke repositori kode, atau menerapkan permintaan tarik gabungan ke produksi.
Runner Linux dan Windows dihosting di mesin virtual Standard_DS2_v2 di Azure dan dilengkapi dengan dua vCPU dan memori 7GB.
Perusahaan Jepang mengatakan telah mengidentifikasi tidak kurang dari 1.000 repositori dan lebih dari 550 sampel kode yang memanfaatkan platform untuk menambang cryptocurrency menggunakan runner yang disediakan oleh GitHub, yang telah diberitahu tentang masalah tersebut.
Terlebih lagi, 11 repositori ditemukan menyimpan varian serupa dari skrip YAML yang berisi perintah untuk menambang koin Monero, yang semuanya bergantung pada dompet yang sama, menunjukkan bahwa itu adalah hasil karya satu aktor atau kelompok yang bekerja bersama-sama.
“Selama pelaku kejahatan hanya menggunakan akun dan repositori mereka sendiri, pengguna akhir seharusnya tidak perlu khawatir,” kata Logan. “Masalah muncul ketika GHA ini dibagikan di GitHub Marketplace atau digunakan sebagai ketergantungan untuk Tindakan lain.”
Kelompok berorientasi Cryptojacking diketahui menyusup ke penyebaran cloud melalui eksploitasi kelemahan keamanan dalam sistem target, seperti kerentanan yang belum ditambal, kredensial yang lemah, atau implementasi cloud yang salah konfigurasi.
Beberapa aktor terkemuka dalam lanskap penambangan cryptocurrency ilegal termasuk 8220, Keksec (alias Kek Security), Kinsing, Outlaw, dan TeamTNT.
Perangkat malware juga ditandai dengan penggunaan skrip pembunuh untuk menghentikan dan menghapus penambang cryptocurrency yang bersaing untuk menyalahgunakan sistem cloud dengan sebaik-baiknya untuk keuntungan mereka sendiri, dengan Trend Micro menyebutnya sebagai pertempuran “berjuang untuk mengendalikan sumber daya korban.”
Yang mengatakan, penyebaran cryptominers, selain menimbulkan infrastruktur dan biaya energi, juga merupakan barometer kebersihan keamanan yang buruk, memungkinkan pelaku ancaman untuk mempersenjatai akses awal yang diperoleh melalui kesalahan konfigurasi cloud untuk tujuan yang jauh lebih merusak seperti eksfiltrasi data atau ransomware.
“Satu aspek unik […] adalah bahwa kelompok aktor jahat tidak hanya harus berurusan dengan sistem dan staf keamanan organisasi target, tetapi mereka juga harus bersaing satu sama lain untuk sumber daya yang terbatas,” perusahaan tersebut mencatat dalam laporan sebelumnya.
“Pertempuran untuk mengambil dan mempertahankan kendali atas server korban adalah kekuatan pendorong utama untuk evolusi alat dan teknik kelompok ini, mendorong mereka untuk terus meningkatkan kemampuan mereka untuk menghapus pesaing dari sistem yang disusupi dan, pada saat yang sama, melawan mereka. penghapusan sendiri.”