Le 3 avril 2021, plusieurs portails technologiques ont annoncé que GitHub Actions, la technologie d’intégration et de déploiement continus sur GitHub, était utilisée de manière malveillante pour extraire des crypto-monnaies.
Qu’est-ce que les actions GitHub?
GitHub Actions est la solution qui vous permet d’établir des tâches périodiques (ou activées dans certaines circonstances) pour exécuter des automatismes pour notre flux logiciel.
De manière simplifiée, des machines virtuelles sont utilisées pour effectuer ces tâches. Ces tâches permettent de vérifier que le code en question se compile correctement, d’exécuter tous les tests unitaires définis dans un projet … ou, comme cela s’est produit, d’exploiter les crypto-monnaies.
Quel est le problème?
Tout le monde peut avoir un référentiel avec des projets personnels ou professionnels. Et aussi, n’importe qui peut collaborer avec ces référentiels en contribuant à son propre code. Généralement, ces collaborations impliquent la correction de certains bug dans le code, ajouter à la documentation, apporter de nouvelles idées de fonctionnalités … à travers un PR ou demande de tirage.
Si vous utilisez des actions GitHub ou si vous les activez dans votre référentiel, la chose la plus naturelle est que, lorsqu’un demande de tirage (ou une collaboration d’une personne extérieure au référentiel en question), cette Action est activée et exécuter certaines tâches sur l’infrastructure GitHub … et c’est là que le minage se produit.
Au mieux, cette personne n’a pas de mauvaises intentions et peut même ne pas être consciente de ce qui se passe. La raison en est que pour que cette attaque réussisse, aucune action n’est requise de la part de la personne responsable du référentiel.
Un de mes repo vient de subir une attaque similaire. Le compte en question a un tas d’autres PR ouverts qui ont actuellement des mineurs en cours d’exécution. https://t.co/PZxApykuO9 pic.twitter.com/zugl7mFK0K
– Justin Perdok (@JustinPerdok) 2 avril 2021
Selon la capture fournie dans le tweet précédent, au moins 95 dépôts avaient été affectés à ce jour.
Cette utilisation abusive des pull requests sur GitHub finit par pénaliser la personne qui possède ou gère ce référentiel. La raison en est qu’à la suite de ces actions, les comptes associés au propriétaire peuvent être bloqués.
Ce qui va se passer?
L’équipe GitHub est consciente du problème et a déjà commencé à prendre des décisions, notamment:
- Lorsqu’une exécution d’Action est suspecte ou confirmée comme malveillante, les conséquences seront dirigées vers l’attaquant et le référentiel à partir duquel le code malveillant est stocké.
- Quand le premier demande de tirage d’une personne dans un référentiel spécifique, une approbation manuelle sera requise pour l’exécution des actions qu’ils le feraient normalement avec une personne qui s’est avérée digne de confiance et qui collabore positivement dans le référentiel.
Avec ces actions, le flux automatisé des CI et des CD peut être un peu ralenti, mais cela permet d’éviter de tels abus facilement et efficacement.
Ces actions suffiront-elles? Comment vont-ils nous surprendre à l’avenir à propos du minage de crypto-monnaie?
En attendant le prochain article, Netcost-Security!
Sources: