Les attaques ont commencé depuis novembre de l’année dernière, selon Justin Perdok, un ingénieur néerlandais qui a relaté les faits comme un cyberattaque contre une infrastructure de Github (des référentiels).
La cible était une fonctionnalité que l’on appelle Actions Github. Les pirates ont réalisé une série d’attaques sur ces référentiels. En réalité, cette fonctionnalité a pour objectif de permettre aux utilisateurs l’exécution automatique des workflows ainsi que des tâches au moment où un événement bien précis a lieu. Dans ce cas, les utilisateurs ont le droit d’appuyer sur le bouton des référentiels.
Les attaques ne ciblaient donc que les référentiels avec lesquels les actions Github étaient déjà mises en œuvre.
Le but des pirates est de créer un référentiel légitime, de rajouter des actions Github offensives au code original, puis de mettre en place un Pull request avec le référentiel original qui va ensuite être uni au code original.
Perdok avait mentionné le fait que le pirate n’avait même pas besoin de compléter le « Pull Request » pour répandre les flux malveillants. Quand ceux-ci se sont propagés et que les systèmes de Github ont commencé à lire le code du pirate, le crypto-minage se télécharge directement après.
Une centaine d’applications mise en exergue en seulement une attaque
Si au début, on pensait que l’attaque n’était pas aussi sérieuse qu’on le pensait, Perdok a quand même révélé qu’environ une centaine d’applications de crypto-minage a été déployée. Parmi elles, on compte Srbiminer. Et ce, en une seule attaque.
Toutefois, il n’y a pas vraiment de quoi s’emballer, car aucun danger n’est en vue.
Github a tout de même déclaré qu’ils mènent des enquêtes actuellement. Perdok, quant à lui, avait déjà évoqué le même souci l’année dernière et la réponse de l’entreprise était pareille.