Los servicios de Github están bajo investigación después de una serie de informes sobre ataques contra una de sus infraestructuras mediante la ejecución de aplicaciones de minería de criptomonedas no autorizadas. Los ciberdelincuentes supuestamente explotaron algunas fallas de seguridad que podrían haber sido explotadas para minar criptos ilícitamente.
Los ataques aprovechan las ‘acciones de Github’
De acuerdo a El record, un ingeniero de seguridad holandés, Justin Perdok, detectó un atacante cibernético dirigido a repositorios pertenecientes a Github. Los ataques se han estado produciendo desde noviembre de 2020, según el informe.
Perdok señaló que la serie de ataques “abusó de una función de Github llamada Acciones de Github”, que permite a los usuarios ejecutar automáticamente flujos de trabajo y tareas solo cuando ocurre un evento específico y luego apretar el gatillo en los repositorios.
Dicho esto, los actores de amenazas están aprovechando los repositorios donde las acciones de Github ya están habilitadas. El Registro proporcionó detalles sobre cómo se produce el ataque:
El ataque implica bifurcar un repositorio legítimo, agregar acciones de GitHub maliciosas al código original y luego presentar una solicitud de extracción con el repositorio original para fusionar el código con el original.
Sin embargo, el ingeniero aclaró que el atacante solo necesita completar la “Solicitud de extracción” para implementar los flujos de trabajo maliciosos. Una vez que esté cargado, los sistemas de Github serán engañados, ya que leerá el código del atacante y luego descargará un software de cripto minería automáticamente.
100 aplicaciones de cripto minería implementadas en un solo ataque
Pero la campaña maliciosa parece ser más poderosa de lo que se pensaba, ya que Perdok le dijo a The Reported que ya detectó piratas informáticos que implementaban casi 100 aplicaciones de minería de criptomonedas, como Srbminer, en un solo ataque para minar múltiples criptomonedas.
Aún así, el ataque parece no representar un peligro para los proyectos de los usuarios en la plataforma.
Github ya comentó sobre el asunto, diciendo que están al tanto del problema y “están investigando activamente”. Sin embargo, Perdok dijo que Github le brindó el mismo comentario el año pasado cuando informó sobre la falla.
¿Qué opinas sobre esta falla en la infraestructura de Github? Háganos saber en la sección de comentarios.
Créditos de imagen: Shutterstock, Pixabay, Wiki Commons
Descargo de responsabilidad: Este artículo es solo para fines informativos. No es una oferta o solicitud directa de una oferta para comprar o vender, ni una recomendación o respaldo de ningún producto, servicio o empresa. Bitcoin.com no proporciona asesoramiento en materia de inversiones, fiscal, legal o contable. Ni la empresa ni el autor son responsables, directa o indirectamente, de ningún daño o pérdida causados o supuestamente causados por o en conexión con el uso o la confianza en cualquier contenido, bienes o servicios mencionados en este artículo.