Kryptow\u00e4hrungen erleben derzeit einen H\u00f6henflug \u2013 nicht zuletzt durch mediale Berichterstattungen \u00fcber Tesla-CEO Elon Musk, der Dogecoin hypt, oder Facebook, Spotify und Uber, die Diem pushen wollen. Ethereum, Bitcoin und Co. sind nahezu t\u00e4glich Teil der Schlagzeilen. Mit diesen Kryptow\u00e4hrungen kommen auch dunklere Akteure ans Tageslicht: Kriminelle, die versuchen, nun \u00fcber Entwicklerplattformen Gewinne durch Crypto Mining zu erzielen. Zu diesen Entwicklerplattformen geh\u00f6rt auch GitHub \u2013 und diese Plattform m\u00f6chte das Problem mit den Kryptominern jetzt angehen. Im heutigen Beitrag erfahren Sie, wie Unbekannte \u00fcber GitHub Actions Kryptomining betreiben und was Microsoft dagegen zu tun gedenkt.<\/p>\n
Microsofts Entwickler-Plattform GitHub muss besser vor Crypto Mining gesch\u00fctzt werden: Angreifenden ist es gelungen, GitHub Actions auszunutzen, um die Server zum Kryptomining zu missbrauchen. Offenbar wird f\u00fcr den Malware-Angriff das CI\/ CD-Tool (Software f\u00fcr Continuous Integration\/ Continuous Delivery f\u00fcr automatisierte Software-Prozesse) verwendet, um Kryptominer auf GitHubs Serverinfrastruktur zu installieren.<\/p>\n
Auf Twitter berichtete Justin Perdok<\/a>, IT-Sicherheitsexperte aus den Niederlanden, von dem Angriff und zeigte eine Liste betroffener Repositories. Perdoks Erkenntnissen zufolge seien mindestens 95 Repositories mit Kryptominern infiziert. \u00dcber GitLab k\u00f6nne die Malware die Kryptominer einfach nachladen. Bisherigen Erkenntnissen zufolge sind ganz konkret Projekte betroffen, deren Maintainer auf automatisierte Workflows setzen, bei denen eingehende Pull Requests ebenfalls automatisiert gepr\u00fcft werden.<\/p>\n Die Angreifenden gehen geschickt vor: Zun\u00e4chst wird ein Fork von echten Repositories erstellt, welches GitHub Actions aktiviert hat. Die Angreifenden injizieren Schadcode in die geforkte Version des Repositorys, um sich dann mittels Pull Request an den Maintainer zu wenden, um den Code zur\u00fcck zu mergen. Ung\u00fcnstig dabei ist die Tatsache, dass die Zustimmung des Maintainers zum Mergen des Schadcodes nicht ben\u00f6tigt wird. Perdok zeigte auf, dass das Einbringen des Pull Requests ausreichend sei, um Angriffe dieser Art auszul\u00f6sen.<\/p>\n GitHubs System jedenfalls liest nach dem Pull Request den Angreifercode aus, um dann eine virtuelle Maschine zu erstellen, die die Software zum Kryptomining auf GitHubs hauseigenen Servern einrichtet und den Schadcode ausf\u00fchrt. Perdok zufolge w\u00e4ren Angreifende mit jeder Attacke in der Lage, 100 Kryptominer zu platzieren. F\u00fcr GitHubs Infrastruktur bedeute dies eine immense Rechenlast.<\/p>\n Perdok sieht, dass die Angriffe willk\u00fcrlich und in gro\u00dfem Stil ausgef\u00fchrt werden. So sei ihm aufgefallen, dass einzelne Accounts Hunderte von Pull Requests mit dem entsprechenden Schadcode erstellt haben.<\/p>\n Dass GitHub Actions f\u00fcr Crypto Mining ausgenutzt werden, ist leider kein neues Problem: Microsoft wei\u00df seit Oktober 2020 davon. Seither ist man bem\u00fcht, eine L\u00f6sung zu finden, die nicht nur die Sicherheit der Repositories erh\u00f6ht, sondern auch daf\u00fcr sorgt, dass der Nutzen des Tools nicht beschnitten werden muss. Im GitHub Blog erkl\u00e4rte Chris Patterson im April 2021<\/a>, welche Schritte nun geplant sind, um das GitHub Actions Kryptomining zu beenden:<\/p>\n Dem Beitrag zufolge h\u00e4tten Angreifende schon immer versucht, die CI\/CD-Systeme zum Crypto Mining zu missbrauchen, der Hype um die Kryptow\u00e4hrungen habe die Lage jedoch zum \u201eeskalieren\u201c gebracht. Deshalb m\u00f6chte GitHub das Verhalten der GitHub Actions in Pull Requests von jenen Projekten \u00e4ndern, die \u00fcber Forks eingereicht werden. Beitr\u00e4ge, die von Ersteinreichern stammen, sollen nur manuell durch den Maintainer freigegeben werden k\u00f6nnen.<\/p>\n Das ist nur ein erster Schritt, eine endg\u00fcltige L\u00f6sung ist noch nicht in Sicht. Als GitHub die Actions im Jahr 2018 einf\u00fchrte, wurde die Automatisierungssoftware als besonders sicher angepriesen. Gegen\u00fcber heise online \u00e4u\u00dferte Sam Lambert<\/a> als Head of Platform seinerzeit, dass die Rechenleistung limitiert sei, \u201esodass ein Missbrauch, etwa als Kryptow\u00e4hrungsminer, nicht lohnt\u201c. Eine Sichtweise, die heute \u00fcberholt sein d\u00fcrfte.<\/p>\n <\/p>\n Gender-Disclaimer:GitHub Actions Kryptomining: Schadcode in geforkten Versionen<\/h3>\n
GitHub Actions Kryptomining: Microsoft sucht nach L\u00f6sungen<\/h2>\n
\nZur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum f\u00fcr Substantive und meinen damit alle nat\u00fcrlichen Personen unabh\u00e4ngig ihres Geschlechts.<\/p>\n