オープンソースソフトウェア(OSS)のソースコード管理プラットフォームGithubでハッカーが不正に暗号通貨をマイニングしていることがセキュリティエンジニアにより指摘された。
オランダのセキュリティエンジニアであるJustin Perdok氏はGithub上のリポジトリを標的とするハッカーによる攻撃を検出。報告によれば攻撃は2020年11月から行われているという。
Github上にはOSSのソースコードが共有されたリポジトリが多数保存されているが、単なるソースコードの共有プラットフォームではなく、開発に適した諸機能を有しており、そのうちの一つであるGithubアクション機能が今回悪用されたと見られている。
本来Githubアクション機能を利用することでリポジトリのコードに変更を加え機能を追加した際にテスト、ビルド、デプロイまでを自動化することができるが、自動化プロセスにマイニング機能を埋め込むことで不当にマイニングスクリプトを稼働させたと見られている。
ハッカーはGithubアクションが有効になっている既存のリポジトリを利用された。攻撃は正当に動作していたリポジトリに加えた変更を元のリポジトリの管理者にマージしてもらうようプルリクエストを行われた。
Githubで管理されるリポジトリは各開発者のノードへと分散化されており、公開されたリポジトリのソースコードはあらゆる開発者によりダウンロードが可能になっているが、Githubは既にこのインシデントについて認識しており、各ユーザーに危険をもたらすものではなく、現在積極的に調査していると述べている。