非法矿工和黑客竟然利用Github Actions服务薅微软羊毛进行自动化挖矿

免费在线PDF转换器/编辑器、文档模板、思维导图,点击查看

Github Actions是微软此前推出的CI/CD解决方案,主要可以帮助开发者和企业实现软件工作流程的自动化任务。

该服务亦可有限的进行免费使用,这导致有非法矿工和黑客盯上微软试图利用微软提供的基础架构进行挖矿操作。

这实际还可能牵涉Github Acitons存在的某处缺陷 , 即提交含有恶意代码的合并请求无需原始作者同意即可合并。

分析显示目前至少 95 个存储库遭到非法矿工和黑客的威胁 , 这些存储库被合并恶意代码利用Github服务器挖矿。

非法矿工和黑客竟然利用Github Actions服务薅微软羊毛进行自动化挖矿

示例图,图文无关

威胁的不是存储库而是Github:

要发起这种特殊的攻击只需选定合法的Github Actions存储库 , 然后以分叉版本注入恶意代码形式提交合并请求。

按理说既然需要提交合并请求那应该需要原始存储库维护者的同意,否则带有恶意代码的分叉版本就不会被合并。

但出乎意料的是攻击者仅发起合并请求即可触发攻击, 即恶意代码利用Github庞大的基础设施和服务器进行挖矿。

实际上这可能并不影响原始存储库因为含有恶意代码的版本毕竟没有被同意合并,所以维护者直接拒绝合并即可。

至于攻击目的就是利用Github服务器进行挖矿, 分析表明当黑客提交合并请求时相关恶意代码就会被运行和挖矿。

从目前存在恶意代码的分叉版本来看非法矿工和黑客挖掘的主要是隐私加密货币门罗币,具体收入暂时还不清楚。

Github表示正在调查该问题:

被技术媒体报道后微软似乎也已经知晓这种情况, Github 发布简短声明表示已知道这种情况正在进行详细调查。

事实上这也并非黑客首次利用 Github 提供的免费服务发起攻击 , 此前就有黑客把Github当做蠕虫病毒中继节点。

按理说只要及时发现这类攻击不会给 Github 产生严重影响,毕竟这类攻击通常都是零星发生不至于大规模发生。

但也有技术媒体表示微软应该警惕该情况,毕竟这回维护者尚未同意合并请求相关恶意代码都可以被服务器执行。

显然这其中存在某些缺陷容易遭到攻击者利用,而 Github 提供的服务里肯定还存在其他未知问题暂时未被发现。

本文来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

评论:

2 条评论,访客:2 条,站长:0 条
  1. 木头科学二百五
    木头科学二百五发布于: 
    Google Chrome 91.0.4466.2 Google Chrome 91.0.4466.2 Windows 10 64位版 Windows 10 64位版

    废话,Github Actions 本来就是干这个的,提交一个 merge request 就会自动检查是否有问题,那注入些代码其实很容易,取决于 repository 的 Github Actions 配置,但是这个又对 maintainer 没啥影响,自然也不太注意。

  2. fudashuai
    fudashuai发布于: 
    Maxthon 5.3.8.2000 Maxthon 5.3.8.2000 Windows 10 64位版 Windows 10 64位版

    道高一尺魔高一丈?

发表评论