GitHub está investigando una serie de ataques contra su infraestructura que habrían permitido a criminales usar sus servidores para minado de criptomonedas.

Estos ataques se llevan desarrollando desde finales de 2020, y se aprovechan de Github Actions, una característica que permite a los usuarios ejecutar flujos de trabajo (workflows) de forma automática en respuesta a un eventos generados en un repositorio.

El proceso comienza con la realización de un fork de un repositorio legítimo, y la creación un flujo de trabajo malicioso de Github Actions. Finalmente, se crea una Pull Request, que no es más que una solicitud al repositorio original de que acepte los cambios realizados, momento en el que se desencadena la acción.

No es necesario, sin embargo, que el responsable del repositorio legítimo apruebe el Pull Request. Aunque no es la norma, existen proyectos configurados para activar automáticamente los flujos de trabajo cada vez que se recibe uno. Estos son los principales objetivos de esta campaña.

Una vez se activa uno de estos flujo de trabajo, se procesan el código malicioso del atacante y se lanza una máquina virtual que descarga y ejecuta software de minado de criptomonedas, utilizando, en todo momento, la infraestructura de Github.

GitHub está al corriente de esta actividad y, a falta de una solución definitiva, está eliminando las cuentas de usuarios sospechosos.

Referencias
https://therecord.media/github-investigating-crypto-mining-campaign-abusing-its-server-infrastructure/
https://securityaffairs.co/wordpress/116294/malware/github-infrastructure-attacks-miner.html

La entrada Utilizan la infraestructura de GitHub para minar criptomonedas se publicó primero en Una al Día.