Contra la minería de criptomonedas en acciones de GitHub

El 3 de abril de 2021, varios portales de tecnología anunciaron que GitHub Actions, la tecnología para la integración e implementación continuas en GitHub, se estaba utilizando maliciosamente para minar criptomonedas.

Índice

    ¿Qué son las acciones de GitHub?

    GitHub Actions es la solución que permite establecer tareas periódicas (o activadas en determinadas circunstancias) para realizar automatizaciones para nuestro flujo de software.

    De manera simplificada, se utilizan máquinas virtuales para realizar estas tareas. Estas tareas permiten verificar que el código en cuestión se compila correctamente, ejecuta todas las pruebas unitarias definidas en un proyecto ... o, como sucedió, socava las criptomonedas.

    ¿Cuál es el problema?

    Cualquiera puede tener un repositorio con proyectos personales o profesionales. Además, cualquiera puede colaborar con estos repositorios contribuyendo con su propio código. Generalmente, estas colaboraciones presuponen la corrección de ciertas bicho en el código, agregar a la documentación, traer nuevas ideas para las características ... a través de un PR o solicitud de sorteo.

    Si está usando acciones de GitHub o habilitándolas en su repositorio, lo más natural es que cuando un solicitud de sorteo (o una colaboración de una persona ajena al repositorio en cuestión), esta Acción se activa y realizar ciertas tareas en la infraestructura de GitHub ... y aquí es donde ocurre la minería.

    En el mejor de los casos, esta persona no tiene malas intenciones y es posible que ni siquiera se dé cuenta de lo que está sucediendo. Esto se debe a que para que este ataque tenga éxito, no se requiere ninguna acción por parte de la persona responsable del repositorio.

    Según la captura proporcionada en el tweet anterior, al menos 95 depósitos se han visto afectados hasta la fecha.

    Este abuso de solicitudes de extracción en GitHub termina penalizando a la persona que posee o administra este repositorio. La razón es que como resultado de estas acciones, las cuentas asociadas con el propietario pueden bloquearse.

    ¿Qué va a pasar?

    El equipo de GitHub está al tanto del problema y ya ha comenzado a tomar decisiones, que incluyen:

    • Cuando la ejecución de una acción es sospechosa o se confirma que es maliciosa, las consecuencias se dirigirán al atacante y al repositorio desde el que se almacena el código malicioso.
    • Cuando el primero solicitud de sorteo de una persona en un repositorio específico, Se requerirá aprobación manual para la ejecución de acciones. que normalmente harían con alguien que ha demostrado ser digno de confianza y que contribuye positivamente al punto de referencia.

    Con estas acciones, el flujo automatizado de CI y CD se puede ralentizar un poco, pero ayuda a prevenir dicho abuso de manera fácil y eficaz.

    ¿Serán suficientes estas acciones? ¿Cómo nos sorprenderán en el futuro sobre la minería de criptomonedas?

    Hasta el próximo artículo, ¡Microsofters!


    Fuentes:

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir