La technologie

Contre l’extraction de crypto-monnaie sur les actions GitHub

Le 3 avril 2021, plusieurs portails technologiques ont annoncé que GitHub Actions, la technologie d’intégration et de déploiement continus sur GitHub, était utilisée de manière malveillante pour extraire des crypto-monnaies.

Qu’est-ce que les actions GitHub?

GitHub Actions est la solution qui vous permet d’établir des tâches périodiques (ou activées dans certaines circonstances) pour exécuter des automatismes pour notre flux logiciel.

De manière simplifiée, des machines virtuelles sont utilisées pour effectuer ces tâches. Ces tâches permettent de vérifier que le code en question se compile correctement, exécute tous les tests unitaires définis dans un projet … ou, comme cela s’est produit, mine les crypto-monnaies.

Quel est le problème?

Tout le monde peut avoir un référentiel avec des projets personnels ou professionnels. Et aussi, n’importe qui peut collaborer avec ces référentiels en contribuant à son propre code. Généralement, ces collaborations supposent la correction d’un bug dans le code, l’ajout à la documentation, l’apport de nouvelles idées de fonctionnalités … via un PR ou pull request.

Si vous utilisez des actions GitHub ou que vous les activez dans votre référentiel, le plus naturel est que, lorsqu’une pull request est ouverte (ou une collaboration d’une personne en dehors du référentiel en question), cette action est activée et exécute certaines tâches dans le Infrastructure GitHub… et c’est là que le minage se produit.

Au mieux, cette personne n’a pas de mauvaises intentions et peut même ne pas être consciente de ce qui se passe. La raison en est que pour que cette attaque réussisse, aucune action n’est requise de la part de la personne responsable du référentiel.

Un de mes repo vient de subir une attaque similaire. Le compte en question a un tas d’autres PR ouverts qui ont actuellement des mineurs en cours d’exécution. https://t.co/PZxApykuO9 pic.twitter.com/zugl7mFK0K

– Justin Perdok (@JustinPerdok) 2 avril 2021

Selon la capture fournie dans le tweet précédent, au moins 95 référentiels avaient été affectés jusqu’à ce point.

Cette utilisation abusive des pull requests sur GitHub finit par pénaliser la personne qui possède ou gère ce référentiel. La raison en est qu’à la suite de ces actions, les comptes associés au propriétaire peuvent être bloqués.

Ce qui va se passer?

L’équipe GitHub est consciente du problème et a déjà commencé à prendre des décisions, notamment:

Lorsqu’une exécution d’Action est suspecte ou confirmée comme malveillante, les conséquences seront dirigées vers l’attaquant et le référentiel à partir duquel le code malveillant est stocké. Lorsque la première demande d’extraction d’une personne se produit sur un référentiel spécifique, une approbation manuelle sera requise pour l’exécution d’actions qui seraient normalement exécutées avec une personne qui s’est avérée digne de confiance et qui contribue positivement au référentiel.

Avec ces actions, le flux automatisé des CI et des CD peut être un peu ralenti, mais cela permet d’éviter de tels abus facilement et efficacement.

Ces actions suffiront-elles? Comment vont-ils nous surprendre à l’avenir à propos du minage de crypto-monnaie?

En attendant le prochain article, Microsofters!

Sources:

Articles similaires

Bouton retour en haut de la page