黑客用GitHub服务器挖矿虚拟货币

加密货币价格一路高涨，显卡又买不起，怎么才能廉价挖矿？

黑客们动起了歪心思，白嫖服务器给PC植入挖矿木马已经无法满足黑客日益增长的算力需求。

如果能用上Github的服务器还不花钱，那当然是极好的，而且整个过程可能比侵入PC还容易，甚至都不需要程序员上当受骗。

只需要提交Pull Request（PR），即使项目管理者没有批准恶意挖矿代码，依然能够执行。

原理也很简单，有Github Action的自动执行工作流功能，轻松将挖矿程序运行在Github的服务器上。

早在去年11月，就已经有人发现黑客这种行为。

更可怕的是半年过去了，这种现象依然没有得到有效制止。Github, 稀里糊涂啊。虽然可以封禁违规账号，但黑客们玩儿起了游击战术，不断更换马甲昊逃避追捕。让官方疲于奔命。

就在几天前，一位荷兰的程序员还发现，这种攻击方式依然存在，甚至在哪里还出现了中文。

那么这些黑客是如何植入挖矿程序的呢？一切要从发现异常的法国程序员Tib说起。

去年11月，Tib发现自己在一个没有参加的Repo 上收到了PR请求。

而且在14个小时内就收到了七个，全是来自一个Y4ndexhater1的用户，没有任何描述内容。

令人感到奇怪的是，这并不是一个热门项目，star数量为零。

打开项目主页发现内容是Perl 项目的Github Action Circle  ci travils-ci 示例代码集合.

整个README文档一团糟，根本不像一个挣钱的开源项目。

然而就是这个混乱又冷门的Repo，居然在三天里fork两次，一切都太不正常了，让人嗅到了一丝不安的气息。

按照作死的精神，下个决定一探究竟。

经过那位可疑用户操作。Tib所有的action都被删除，在工作流里被加入了一个CI YML文件，

当Tib看到这一行内容后，立刻从沙发上跳了起来。

他意识到事情的严重性，有人在入侵他的Github 个人资料。

这串看似神秘的字符，即使是base64编码，经过翻译后得到了另一段代码。

前面两行不必解释。有意思的地方，从第三行开始，他会下载一个pronger2进制文件。

为了安全起见，Tib先尝试获取信息，而不是执行，得到了他的16进制代码。Tib也考虑过反编译，但是没有成功。不入虎穴，焉得虎子，下一步决定尝试运行一下。

防止“试试就逝世” 。Tib 首先断开了电脑的网络连接，并选择在Docker容器中运行。

但终于揭晓，原来这个prog是一个名为XMRIG的挖矿程序。当时XMRIG的最新版恰好是6.8.1。和上面的版本参数符合.。

不过用SHA256检测后发现这个prog并不是完全的XMRIG，Tib预测它可能是一个修改版。

实际上可能被攻击的不止Github。安全公司Aqua推测像Docker Hub， Travils Ci，Ccircle CI这些SAAS软件开发环境有可能遭受这类攻击。

在这个攻击过程中会派生一个合法的Repo，负责将恶意的GitHub Action 添加到原始代码，然后黑客再向原始Repo 提交一个PR，将代码合并回原始的REPO。

下载的挖矿程序会伪装成prog或者GCC的编译器，通过提交PR在项目执行自动化工作流。

此时服务器将运行伪装后的挖矿程序。

这些攻击者仅一次攻击就可以运行多达100个挖矿程序，从而给GitHub 的服务器带来了巨大的计算量。

据Aqua估计，仅在三天的时间里。挖矿黑客就在GitHub上有超过2.3 3万次commit。

在Docker Hub上5.8万次build，转化了大约3万个挖矿任务。

这种攻击甚至不需要被攻击的仓库管理者接受恶意pull request。

然后在GitHub / workflows目录里任意YML文件中配置了Pull Request时执行。

来自黑客的Action就会自动被执行。如果你没有使用这个功能，那就不用担心了。

黑客大概也不会找上你。需要用到这个功能的话，可以设置成只允许本地action或只允许GitHub官方的Action。

将情况反馈给客服后，GitHub会对恶意账号进行封号和关闭相关Pull Request操作。但恶意攻击很难被根除。

黑客只需要注册新的账号就可以继续白嫖服务器资源。

我们从最近一次攻击中发现，黑客将挖矿程序上传到GitLab 并伪装成包管理工具NPM。

打开这个可疑的Nani bat，可以看到这一次黑客挖的是乌龟币，可以使用CPU计算。按当前价格挖出四千多个币才值一美元。

GitHub Actions的免费服务器可以提供英特尔E5 2673V4的两个核心，7GB内存，大致估算单台运行一天只能获利几美分。

而且黑客的挖矿程序通常只能在被发现之前运行几个小时，比如Docker Hub 就把自动build的运行时间限制在两个小时。

不过蚊子再小也是肉。黑客通过寻找更多接受公开Action的仓库，以及反复打开关闭Pull Request 就能执行更多的挖矿程序。

正如twitter用户Dave Walker所说的，如果你提供免费的计算资源，需要做好，会被攻击和滥用的觉悟，挖矿有利可图的情况下，这是不可避免的。

据报道，受害者不止GitHub ，还有 Doctor Hub， Travis CI，以及 Circle CI 等 提供类似服务的持续集成平台。

这一乱象不知何时才能结束。

唯一的好消息可能就是挖矿的黑客似乎只是针对GitHub提供的服务器资源，而不会破坏你的代码。

但是GitHub action的漏洞不止这一个，还有方法能使黑客读写开发者的仓库，甚至可以读取加密的机密文件。

去年7月，Google project Zero 团队就已向GitHub 通报漏洞。

但在给出了90天修复期限+延长14天后，GitHub 仍未能有效解决。

类似我们的建议是，不要轻易相信GitHub 市场里的action作者。

不要交出你的秘钥。

今天看到这新闻还是不惊讶的，毕竟白嫖党哪里都有。

另外推荐个服务器，用来做小型网站和博客，以及用来练手都是非常不错的。。

正好最近 腾讯云 有新活动，2核2G 原价600元一年的网站服务器仅需40元。

也就一包烟钱的价格，就可以来练手了。。。是不是很划算？

直达链接： https://cloud.tencent.com/act/2022season

转载请注明：日记男孩的博客 » 黑客用GitHub服务器挖矿虚拟货币