Cyberkriminelle schürfen Kryptogeld

Kryptowährungen erleben derzeit einen Höhenflug und sind nahezu täglich Bestandteil der Schlagzeilen: Hier hypt Tesla-CEO Elon Musk die Währung Dogecoin, dort pushen Facebook, Spotify und Uber die Kryptowährung Diem.

Mit Kryptowährungen kommen aber auch dunkle Akteure ans Tageslicht, warnen die IT-Sicherheitsexperten der PSW GROUP (www.psw-group.de): „Auch Kriminelle haben Kryptowährungen für sich entdeckt und versuchen über Entwicklerplattformen, Gewinne durch Crypto Mining zu erzielen“, so Patrycja Schrenk, Geschäftsführerin der PSW GROUP. 

Zu diesen Entwicklerplattformen gehört Microsofts GitHub: „Angreifern ist es gelungen, GitHub Actions auszunutzen, um die Server zum Kryptomining zu missbrauchen. Offenbar wird für den Malware-Angriff das CI/ CD-Tool verwendet, um Kryptominer auf GitHubs Serverinfrastruktur zu installieren“, warnt die Expertin. Mindestens 95 Repositories sollen inzwischen mit Kryptominern infiziert sein. Über GitLab könne die Malware die Kryptominer einfach nachladen. „Bisherigen Erkenntnissen zufolge sind ganz konkret Projekte betroffen, deren Maintainer auf automatisierte Workflows setzen, bei denen eingehende Pull Requests ebenfalls automatisiert geprüft werden“, informiert Schrenk.

Die Angreifer gehen geschickt vor: Zunächst wird ein Fork von echten Repositories erstellt, welches GitHub Actions aktiviert hat. Die Angreifer injizieren Schadcode in die geforkte Version des Repositorys, um sich dann mittels Pull Request an den Maintainer zu wenden, um den Code zurück zu mergen. Ungünstig dabei ist die Tatsache, dass die Zustimmung des Maintainers zum Mergen des Schadcodes nicht benötigt wird. GitHubs System liest nach dem Pull Request den Angreifercode aus, um dann eine virtuelle Maschine zu erstellen, die die Software zum Kryptomining auf GitHubs hauseigenen Servern einrichtet und den Schadcode ausführt. Damit könnten Angreifer in der Lage sein, mit jeder Attacke 100 Kryptominer zu platzieren. Für GitHubs Infrastruktur bedeute dies eine immense Rechenlast.

„Das GitHub Actions für Crypto Mining ausgenutzt werden, ist leider kein neues Problem. Microsoft weiß seit Oktober 2020 davon. Seither ist man bemüht, eine Lösung zu finden, die nicht nur die Sicherheit der Repositories erhöht, sondern auch dafür sorgt, dass der Nutzen des Tools nicht beschnitten werden muss“, so Patrycja Schrenk. Laut GitHub hätten Kriminelle schon immer versucht, die CI/CD-Systeme zum Crypto Mining zu missbrauchen, der Hype um die Kryptowährungen habe die Lage jedoch zum „eskalieren“ gebracht. Deshalb möchte GitHub das Verhalten der GitHub Actions in Pull Requests von jenen Projekten ändern, die über Forks eingereicht werden. Beiträge, die von Ersteinreichern stammen, sollen nur manuell durch den Maintainer freigegeben werden können. „Das ist jedoch nur ein erster Schritt, eine endgültige Lösung ist noch nicht in Sicht. Als GitHub die Actions im Jahr 2018 einführte, wurde die Automatisierungssoftware als besonders sicher angepriesen. So sei die Rechenleistung limitiert, damit ein Missbrauch, etwa als Kryptowährungsminer, nicht lohnt. Eine Sichtweise, die heute überholt sein dürfte“, meint Schrenk.

Weitere Informationen unter: https://www.psw-group.de/blog/github-actions-kryptomining/8269

Erschreckende Enthüllungen: So handeln Deutschlands führende Politiker im Interesse der wirklich Mächtigen >>>Klicken Sie HIER


Marlene Dietrich in "Der blaue Engel" - 1. deutscher Tonfilm: YouTube

Reich mit Aktien - Michael Mross: "Das beste Buch, das ich je schrieb."

Neue Videos:

-

Wandere aus, solange es noch geht!
Finca Bayano in Panama.

Wikifolios
Börsen News

BITCOIN LIVE

Bitcoin + Ethereum sicher kaufen Bitcoin.de
Bitcoin News
Spenden an MMnews
BTC:
1No5Lj1xnqVPzzbaKRk1kDHFn7dRc5E5yu

BCH:
qpusq6m24npccrghf9u9lcnyd0lefvzsr5mh8tkma7 Ethereum:
0x2aa493aAb162f59F03cc74f99cF82d3799eF4CCC

Haftungsausschluss

Diese Internet-Präsenz wurde sorgfältig erarbeitet. Der Herausgeber übernimmt für eventuelle Nachteile oder Schäden, die aus den aufgeführten Informationen, Empfehlungen oder Hinweisen resultieren, keine Haftung. Der Inhalt dieser Homepage ist ausschließlich zu Informationszwecken bestimmt. Die Informationen sind keine Anlageempfehlungen und stellen in keiner Weise einen Ersatz für professionelle Beratung durch Fachleute dar. Bei Investitionsentscheidungen wenden Sie sich bitte an Ihre Bank, Ihren Vermögensberater oder sonstige zertifizierte Experten.


Für Schäden oder Unannehmlichkeiten, die durch den Gebrauch oder Missbrauch dieser Informationen entstehen, kann der Herausgeber nicht - weder direkt noch indirekt - zur Verantwortung gezogen werden. Der Herausgeber übernimmt keine Gewähr für die Aktualität, Richtigkeit und Vollständigkeit der bereitgestellten Informationen auf seiner Internet-Präsenz.

 

Vorsorglicher Hinweis zu Aussagen über künftige Entwicklungen
Die auf dieser Website zum Ausdruck gebrachten Einschätzungen geben subjektive Meinungen zum Zeitpunkt der Publikation wider und stellen keine anlagebezogene, rechtliche, steuerliche oder betriebswirtschaftliche Empfehlung allgemeiner oder spezifischer Natur dar.

Aufgrund ihrer Art beinhalten Aussagen über künftige Entwicklungen allgemeine und spezifische Risiken und Ungewissheiten; und es besteht die Gefahr, dass Vorhersagen, Prognosen, Projektionen und Ergebnisse, die in zukunftsgerichteten Aussagen beschrieben oder impliziert sind, nicht eintreffen. Wir weisen Sie vorsorglich darauf hin, dass mehrere wichtige Faktoren dazu führen können, dass die Ergebnisse wesentlich von den Plänen, Zielen, Erwartungen, Einschätzungen und Absichten abweichen, die in solchen Aussagen erwähnt sind. Zu diesen Faktoren zählen

(1) Markt- und Zinssatzschwankungen,

(2) die globale Wirtschaftsentwicklung,

(3) die Auswirkungen und Änderungen der fiskalen, monetären, kommerziellen und steuerlichen Politik sowie Währungsschwankungen,

(4) politische und soziale Entwicklungen, einschliesslich Krieg, öffentliche Unruhen, terroristische Aktivitäten,

(5) die Möglichkeit von Devisenkontrollen, Enteignung, Verstaatlichung oder Beschlagnahmung von Vermögenswerten,

(6) die Fähigkeit, genügend Liquidität zu halten, und der Zugang zu den Kapitalmärkten,

(7) operative Faktoren wie Systemfehler, menschliches Versagen,

(8) die Auswirkungen der Änderungen von Gesetzen, Verordnungen oder Rechnungslegungsvorschriften oder -methoden,

Wir weisen Sie vorsorglich darauf hin, dass die oben stehende Liste der wesentlichen Faktoren nicht abschliessend ist.

Weiterverbreitung von Artikeln nur zitatweise mit Link und deutlicher Quellenangabe gestattet.

 

© 2020 MMnews.de

Please publish modules in offcanvas position.