상세 컨텐츠

본문 제목

가상화폐 채굴에 GitHub 인프라 악용돼

국내외 보안동향

by 알약4 2021. 4. 5. 09:00

본문

 

 

Attackers are abusing GitHub infrastructure to mine cryptocurrency

 

GitHub이 가상 화폐를 불법으로 채굴하려 하는 일련의 공격에 대한 조사를 시작했습니다.

 

이러한 공격은 적어도 2020년 말 한 소프트웨어 개발자가 저장소에서 악성 활동을 발견해 제보하여 알려졌습니다.

 

“저는 악성 GitHub 액션을 제작해 액션이 실행될 때 가상화폐 프로그램을 시작하는 GitHub 사용자의 공격을 받았습니다. 공격자의 Pull request로 인해 악성 GitHub 액션이GitHub 액션 내에서 트리거됐습니다."라고 유사한 공격을 받은 피해자가 밝혔다. 

 

The Record는 소프트웨어 워크플로우의 자동 실행을 허용하도록 구현된 GitHub 액션을 악용하고 있다고 보고했습니다. 전문가들은 공격자들이 이 기능이 활성화된 저장소를 노려 악성 GitHub 액션을 추가하고 공격자의 코드를 실행하기 위해 Pull Request를 채우고 있다고 경고했습니다.

 

보안 엔지니어인 Justin PerdokThe Record 측에 최소 공격자 한 명이 액션이 활성화된 GitHub 저장소를 노리고 있다고 밝혔습니다. 해당 공격은 정식 저장소를 포크하고, 악성 GitHub 액션을 원본 코드에 추가하고, 코드를 다시 원본과 병합하기 위해 원본 저장소를 Pull Request로 채웁니다.

 

하지만 공격은 원래 프로젝트 소유자가 악성 Pull Request를 승인하는 것에 의존하지 않습니다. PerdokPull Request를 채우는 것만으로도 공격은 충분하다고 밝혔습니다.

 

최근 공격에서 공격자들은 코드 저장소 서비스의 인프라에 가상화폐 채굴기를 설치하기 위해 자체 악성코드를 실행하고, 경우에 따라 공격자가 단일 공격을 통해 채굴기 수백 개를 배포할 수도 있습니다.

 

이러한 종류의 공격은 악용된 인프라의 컴퓨팅 능력에 상당한 영향을 미칩니다.

 

PerdokThe Record에 악성코드가 포함된 수백 개의 Pull Request 생성을 실행한 계정 최소 하나를 식별했다고 밝혔습니다.

 

아래 전문가 또한 유사한 공격의 피해자였습니다.

 

 

<이미지 출처 : https://twitter.com/JustinPerdok/status/1377970380086902794>

 

 

GitHubThe Record측에 현재 공격을 조사하고 있는 중이라 밝혔습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/116294/malware/github-infrastructure-attacks-miner.html

https://dev.to/thibaultduponchelle/the-github-action-mining-attack-through-pull-request-2lmc

관련글 더보기

댓글 영역