黑客利用GitHub进行挖矿

网络犯罪分子似乎对利用GitHub和GitHub相关服务以隐藏浏览器后的加密货币挖掘脚本有着迷恋,这些脚本后来在黑客网站上使用。

在过去的几个月中,骗子们GitHub,进行不少的劫持活动。2017年12月,黑客通过在GitHub帐户上传加密劫持脚本,然后通过GitHub.io域将其加载到被黑网站上来利用代码共享网站,这是第一起事件。

几个月后,骗子做了同样的事情,但他们没有使用GitHub.io域,而是使用GitHub的默认CDN raw.githubusercontent.com切换到加载脚本。

第三,当骗子看到他们的策略被安全公司和软件发现并反击时,他们再次切换到新的URL方案,并开始从github.com/user/repository/raw/ links加载存储在GitHub上的加密劫持脚本。

Cryptojackers利用RawGit CDN

现在,来自网络安全公司Sucuri的研究人员表示,他们已经找到了另一种更聪明的方式,其中骗子不是利用GitHub,而是非官方的GitHub相关服务。

此服务是RawGit,一种无限期缓存GitHub文件的CDN服务,即使在从GitHub删除原始文件或GitHub用户删除了他的帐户之后也是如此。

Sucuri说,最近的一次加密抢劫操作已经在一个名为jdobt的GitHub帐户上上传了一个版本的Crypto-Loot浏览器挖矿脚本,缓存了RawGit中的加密劫持脚本,然后删除了原来的GitHub帐户。

该攻击者后来使用RawGit URL将这个加密劫持脚本嵌入到被黑网站上,这个域通常不被认为是可疑的,并且易受安全软件的额外扫描。

这种技术可以说是非常聪明,因为它滥用了一项只为Web开发人员所知的服务,他们过去经常使用RawGit URL来实现HTML预览功能(就像Bleeping Computer 的Patch Tuesday报告一样)。

RawGit的快速滥用部门挫败了攻击者的计划

但是,虽然之前三次利用GitHub域名的加密抢占活动有些成功,但这一次似乎是一个巨大的失败,并且出于两个截然不同的原因。

首先,骗子似乎已经遇到了将Crypto-Loot脚本嵌入被黑网站的问题。Sucuri表示,该剧本未能为运营商实际加载,执行和创造利润。

其次,Sucuri表示,RawGit团队在滥用报告时非常快速且反应迅速,在初始报告后的几个小时内删除了缓存的URL。

这个活动背后的人或团体可能认为他找到了一种聪明的方法来保持脚本在线,即使文件从Github删除,但他显然没有考虑到RawGit的快速反应及其工作人员致力于保持他们的CDN免费恶意软件。

  • 发表于:
  • 原文链接https://www.bleepingcomputer.com/news/security/cryptojacking-campaign-employs-deleted-github-account-and-unofficial-github-cdn/
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券