非法矿工和黑客竟然利用Github Actions服务薅微软羊毛进行自动化挖矿
Github Actions是微软此前推出的CI/CD解决方案,主要可以帮助开发者和企业实现软件工作流程的自动化任务。
该服务亦可有限的进行免费使用,这导致有非法矿工和黑客盯上微软试图利用微软提供的基础架构进行挖矿操作。
这实际还可能牵涉Github Acitons存在的某处缺陷 , 即提交含有恶意代码的合并请求无需原始作者同意即可合并。
分析显示目前至少 95 个存储库遭到非法矿工和黑客的威胁 , 这些存储库被合并恶意代码利用Github服务器挖矿。
示例图,图文无关
要发起这种特殊的攻击只需选定合法的Github Actions存储库 , 然后以分叉版本注入恶意代码形式提交合并请求。
按理说既然需要提交合并请求那应该需要原始存储库维护者的同意,否则带有恶意代码的分叉版本就不会被合并。
但出乎意料的是攻击者仅发起合并请求即可触发攻击, 即恶意代码利用Github庞大的基础设施和服务器进行挖矿。
实际上这可能并不影响原始存储库因为含有恶意代码的版本毕竟没有被同意合并,所以维护者直接拒绝合并即可。
至于攻击目的就是利用Github服务器进行挖矿, 分析表明当黑客提交合并请求时相关恶意代码就会被运行和挖矿。
从目前存在恶意代码的分叉版本来看非法矿工和黑客挖掘的主要是隐私加密货币门罗币,具体收入暂时还不清楚。
被技术媒体报道后微软似乎也已经知晓这种情况, Github 发布简短声明表示已知道这种情况正在进行详细调查。
事实上这也并非黑客首次利用 Github 提供的免费服务发起攻击 , 此前就有黑客把Github当做蠕虫病毒中继节点。
按理说只要及时发现这类攻击不会给 Github 产生严重影响,毕竟这类攻击通常都是零星发生不至于大规模发生。
但也有技术媒体表示微软应该警惕该情况,毕竟这回维护者尚未同意合并请求相关恶意代码都可以被服务器执行。
显然这其中存在某些缺陷容易遭到攻击者利用,而 Github 提供的服务里肯定还存在其他未知问题暂时未被发现。