共计 1283 个字符,预计需要花费 4 分钟才能阅读完成。
“如果你提供收费的计算资源,就要做好会被攻打和滥用的觉醒。挖矿有利可图的状况下这是不可避免的。”
这是社交媒体上的一个舆论,议论的是前不久,黑客白嫖 GitHub 服务器进行挖矿的事件。早在去年 11 月,就有媒体曝出此类事件,惋惜到明天仿佛依然未被禁止。
利用 GitHub Actions 加密挖矿,一次可运行上百矿机
去年 11 月,荷兰平安工程师贾斯汀·珀多克(Justin Perdok)在一通电话中通知媒体,至多有一个黑客正在针对可能启用 GitHub Actions 的 GitHub 存储库。攻打的过程很简略,只需提交 Pull Request(PR),即便我的项目管理者没有批准,歹意挖矿代码仍然可能执行。原理也很简略,利用 GitHub Action 的主动执行工作流性能,轻松将挖矿程序运行在 GitHub 的服务器上。
Github 大家都十分相熟,是一家应用 Git 进行软件开发和版本控制的互联网托管提供商,于 2018 年被微软收买,目前该平台上的开发者数量已近 9000 万。Github Actions 是微软此前推出的 CI/CD 解决方案,次要能够帮忙开发者和企业实现软件工作流程的自动化工作。该服务亦可无限的进行收费应用,这导致有非法矿工和黑客盯上微软试图利用微软提供的基础架构进行挖矿操作。
这理论还可能关涉 Github Acitons 存在的某处缺点,即提交含有恶意代码的合并申请无需原始作者批准即可合并。剖析显示目前至多 95 个存储库受到非法矿工和黑客的威逼,这些存储库被合并恶意代码利用 Github 服务器挖矿。
目前尚不得悉黑客挖的是哪种币,但从其应用的挖矿软件 SRBMiner 来看,有可能是以太坊等实用显卡挖矿的 PoW 加密货币。据报道,黑客只有攻打一次就能够运行 100 多台矿机,这给 GitHub 的服务器带来了微小的压力。
仿佛“无解”,但蕴藏安全隐患
据报道,受益的不止 GitHub,还有 Docker Hub、Travis CI 以及 Circle CI 等提供相似服务的继续集成平台。
正如咱们结尾所说,“如果你提供收费的计算资源,就要做好会被攻打和滥用的觉醒。”GitHub 显然曾经有了这个觉醒,这也并非黑客首次利用 GitHub 提供的收费服务发动防御,但对于“被白嫖”,GitHub 仿佛仍未找到一种很好的解决方案。
在近日的一封电子邮件中,GitHub 示意,他们 “ 意识到这种流动,并正在踊跃考察 ”,但他们去年对法国工程师也是这么说的。然而,当初的解决方案仿佛常识在和攻击者玩猫捉老鼠的游戏,因为一旦旧账户被检测到并暂停,攻击者就会注册新账户。
目前,这次攻打仿佛没有以任何形式毁坏用户的我的项目,仿佛只是专一于滥用 GitHub 基础设施。对普通用户来说,仿佛并没有太大的平安问题,但 GitHub Action 被曝出的破绽仿佛不止这一个。据悉还有办法能使黑客读写开发者的仓库,甚至能够读取加密的机密文件。
局部参考资料:
https://dev.to/thibaultduponc…
https://therecord.media/githu…
蓝点网:《薅羊毛:黑客居然利用 Github Actions 薅微软羊毛自动化挖矿》