PSW Group: GitHub besser vor Crypto Mining schützen

Kriminelle schürfen Kryptogeld

21. September 2021, 12:00 Uhr |
© LANline

Kryptowährungen erleben derzeit einen Höhenflug und sind nahezu täglich Bestandteil der Schlagzeilen. Hier hypt Tesla-CEO Elon Musk die Währung Dogecoin, dort pushen Facebook, Spotify und Uber die Kryptowährung Diem. Mit Kryptowährungen kommen jedoch auch dunkle Akteure ans Tageslicht, warnen die IT-Sicherheitsexperten der PSW Group. „Auch Kriminelle haben Kryptowährungen für sich entdeckt und versuchen über Entwicklerplattformen, Gewinne durch Crypto Mining zu erzielen“, so Patrycja Schrenk, Geschäftsführerin des Sicherheitsdienstleisters.

Zu diesen Entwicklerplattformen gehört Microsofts GitHub: „Angreifern ist es gelungen, GitHub Actions auszunutzen, um die Server zum Kryptomining zu missbrauchen. Offenbar wird für den Malware-Angriff das CI/CD-Tool verwendet, um Kryptominer auf GitHubs Server-Infrastruktur zu installieren“, warnt die Expertin. Mindestens 95 Repositories sollen inzwischen mit Kryptominern infiziert sein. Über GitHub könne die Malware die Kryptominer einfach nachladen. „Bisherigen Erkenntnissen zufolge sind ganz konkret Projekte betroffen, deren Maintainer auf automatisierte Workflows setzen, bei denen eingehende Pull Requests ebenfalls automatisiert geprüft werden“, informiert Schrenk.

Die Angreifer gehen offenbar geschickt vor. Zunächst erstellen sie ein Fork von echten Repositories, das GitHub Actions aktiviert hat. Die Angreifer injizieren Schadcode in die geforkte Version des Repositorys, um sich dann mittels Pull Request an den Maintainer zu wenden, um den Code zurück zu mergen. Ungünstig dabei sei die Tatsache, dass die Zustimmung des Maintainers zum Mergen des Schadcodes nicht nötig ist. GitHubs System liest nach dem Pull Request den Angreifercode aus, um dann eine virtuelle Maschine zu erstellen, die die Software zum Kryptomining auf GitHubs hauseigenen Servern einrichtet und den Schadcode ausführt. Damit könnten Angreifer in der Lage sein, mit jeder Attacke 100 Kryptominer zu platzieren. Für GitHubs Infrastruktur bedeute dies eine immense Rechenlast.

Dass GitHub Actions zum Crypto Mining dienen, sei leider kein neues Problem. Microsoft wisse seit Oktober 2020 davon. Seither sei man bemüht, eine Lösung zu finden, die nicht nur die Sicherheit der Repositories erhöht, sondern auch dafür sorge, dass der Nutzen des Tools nicht beschnitten ist, so Patrycja Schrenk. Laut GitHub hätten Kriminelle schon immer versucht, die CI/CD-Systeme zum Crypto Mining zu missbrauchen, der Hype um die Kryptowährungen habe die Lage jedoch zum „eskalieren“ gebracht.

Deshalb wolle GitHub das Verhalten der GitHub Actions in Pull Requests von jenen Projekten ändern, die über Forks einlaufen. Beiträge, die von Ersteinreichern stammen, sollen nur manuell durch den Maintainer freigegeben werden können. „Dies ist jedoch nur ein erster Schritt, eine endgültige Lösung ist noch nicht in Sicht. Als GitHub die Actions im Jahr 2018 einführte, wurde die Automatisierungssoftware als besonders sicher angepriesen. So sei die Rechenleistung limitiert, damit sich ein Missbrauch, etwa als Kryptowährungs-Miner, nicht lohnt. Eine Sichtweise, die heute überholt sein dürfte“, meint Schrenk.

Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu PSW Group

Weitere Artikel zu Netzwerksicherheit

Weitere Artikel zu Bedrohungsabwehr

Weitere Artikel zu Informationssicherheit

Weitere Artikel zu M & W Informationssysteme

Weitere Artikel zu CARLO GAVAZZI GmbH

Weitere Artikel zu Tableau Software

Weitere Artikel zu matrix42

Weitere Artikel zu Opticon Sensoren GmbH

Matchmaker+