Kryptowährungen erleben derzeit einen Höhenflug und sind nahezu täglich Bestandteil der Schlagzeilen: Hier hypt Tesla-CEO Elon Musk die Währung Dogecoin, dort pushen Facebook, Spotify und Uber die Kryptowährung Diem.
Mit Kryptowährungen kommen aber auch dunkle Akteure ans Tageslicht, warnen die IT-Sicherheitsexperten der PSW GROUP (www.psw-group.de): „Auch Kriminelle haben Kryptowährungen für sich entdeckt und versuchen über Entwicklerplattformen, Gewinne durch Crypto Mining zu erzielen“, so Patrycja Schrenk, Geschäftsführerin der PSW GROUP.
Zu diesen Entwicklerplattformen gehört Microsofts GitHub: „Angreifern ist es gelungen, GitHub Actions auszunutzen, um die Server zum Kryptomining zu missbrauchen. Offenbar wird für den Malware-Angriff das CI/ CD-Tool verwendet, um Kryptominer auf GitHubs Serverinfrastruktur zu installieren“, warnt die Expertin. Mindestens 95 Repositories sollen inzwischen mit Kryptominern infiziert sein. Über GitLab könne die Malware die Kryptominer einfach nachladen. „Bisherigen Erkenntnissen zufolge sind ganz konkret Projekte betroffen, deren Maintainer auf automatisierte Workflows setzen, bei denen eingehende Pull Requests ebenfalls automatisiert geprüft werden“, informiert Schrenk.
Die Angreifer gehen geschickt vor: Zunächst wird ein Fork von echten Repositories erstellt, welches GitHub Actions aktiviert hat. Die Angreifer injizieren Schadcode in die geforkte Version des Repositorys, um sich dann mittels Pull Request an den Maintainer zu wenden, um den Code zurück zu mergen. Ungünstig dabei ist die Tatsache, dass die Zustimmung des Maintainers zum Mergen des Schadcodes nicht benötigt wird. GitHubs System liest nach dem Pull Request den Angreifercode aus, um dann eine virtuelle Maschine zu erstellen, die die Software zum Kryptomining auf GitHubs hauseigenen Servern einrichtet und den Schadcode ausführt. Damit könnten Angreifer in der Lage sein, mit jeder Attacke 100 Kryptominer zu platzieren. Für GitHubs Infrastruktur bedeute dies eine immense Rechenlast.
„Das GitHub Actions für Crypto Mining ausgenutzt werden, ist leider kein neues Problem. Microsoft weiß seit Oktober 2020 davon. Seither ist man bemüht, eine Lösung zu finden, die nicht nur die Sicherheit der Repositories erhöht, sondern auch dafür sorgt, dass der Nutzen des Tools nicht beschnitten werden muss“, so Patrycja Schrenk. Laut GitHub hätten Kriminelle schon immer versucht, die CI/CD-Systeme zum Crypto Mining zu missbrauchen, der Hype um die Kryptowährungen habe die Lage jedoch zum „eskalieren“ gebracht. Deshalb möchte GitHub das Verhalten der GitHub Actions in Pull Requests von jenen Projekten ändern, die über Forks eingereicht werden. Beiträge, die von Ersteinreichern stammen, sollen nur manuell durch den Maintainer freigegeben werden können. „Das ist jedoch nur ein erster Schritt, eine endgültige Lösung ist noch nicht in Sicht. Als GitHub die Actions im Jahr 2018 einführte, wurde die Automatisierungssoftware als besonders sicher angepriesen. So sei die Rechenleistung limitiert, damit ein Missbrauch, etwa als Kryptowährungsminer, nicht lohnt. Eine Sichtweise, die heute überholt sein dürfte“, meint Schrenk.
Weitere Informationen unter: https://www.psw-group.de/blog/
