针对GitHub操作和Azure虚拟机的基于云的加密货币矿工

GitHub操作和Azure虚拟机（VM）正被用于基于云的加密货币挖掘，这表明恶意参与者持续试图将云资源用于非法目的。

趋势科技研究人员马格诺·洛根（Magno Logan）上周在一份报告中表示：“攻击者可以滥用GitHub提供的运行程序或服务器，恶意下载并安装自己的加密货币矿工，以运行组织的管道和自动化，从而轻松获利”。

GitHub Actions（GHAs）是一个持续集成和持续交付（CI/CD）平台，允许用户自动化软件构建、测试和部署管道。开发人员可以利用该功能创建工作流，以构建和测试每个拉请求到代码存储库，或将合并的拉请求部署到生产环境。

Linux和Windows Runner都托管在Azure上的Standard_DS2_v2虚拟机上，并配有两个VCPU和7GB内存。

这家日本公司表示，它发现了不少于1000个存储库和550多个代码样本，它们利用GitHub提供的Runner平台挖掘加密货币。微软拥有的代码托管服务已收到该问题的通知。

此外，11个存储库中发现了类似的YAML脚本变体，其中包含挖掘Monero硬币的命令，所有这些命令都依赖于同一个钱包，这表明这要么是单个演员的手工作品，要么是一个团队协同工作。

洛根说：“只要恶意行为者只使用自己的帐户和存储库，最终用户就没有理由担心”。“当这些GHA在GitHub Marketplace上共享或用作其他操作的依赖项时，就会出现问题”。

众所周知，面向加密劫持的团体通过利用目标系统内的安全漏洞（例如未修补的漏洞、弱凭据或配置错误的云实现）渗透到云部署。

非法加密货币开采领域的一些重要参与者包括8220、Keksec（又名Kek Security）、Kinsing、Outlaw和TeamTNT。

恶意软件工具集的另一个特点是使用杀戮脚本终止和删除竞争的加密货币矿工，以最好地利用云系统为自己谋利，趋势科技称这是一场“争夺受害者资源控制权的战斗”

也就是说，加密矿工的部署，除了带来基础设施和能源成本外，也是安全卫生状况不佳的晴雨表，使威胁行为者能够将通过云错误配置获得的初始访问武器化，以实现更具破坏性的目标，如数据外泄或勒索软件。

“一个独特的方面该公司在早些时候的一份报告中指出：“恶意行为者群体不仅必须与目标组织的安全系统和员工打交道，而且还必须为有限的资源相互竞争”。

“争夺并保持对受害者服务器的控制权是这些群体工具和技术演变的主要驱动力，促使他们不断提高将竞争对手从受损系统中删除的能力，同时抵制自己的删除”。