利用 Github Actions 的 Workflows 挖矿挖掘数字加密货币
2021年04月06日 09:51:37 · 本文共 873 字阅读时间约 3分钟 · 5,094 次浏览GitHub Actions 是一个 CI/CD 免费服务,现在正在被利用挖矿挖掘数字加密货币,什么是 GitHub Actions,我再另一篇文章中进行了介绍,此处不在赘述,请参考:《初体验 GitHub Actions Workflows 工作流入门教程以及我的使用感受》。
首先,利用 Github Actions 的 Workflows 挖矿挖掘数字加密货币这个行为是极为不道德的,占用了公共资源,我非常鄙视这样的人,而且警告各位不要尝试,Github 目前的解决方式是发现即封号,是封整个账号,请勿尝试!
事件介绍
利用 Github Actions 的 Workflows 挖矿挖掘数字加密货币最早是在 2020 年 11 月就被发现了,但目前没有很好的解决办法,Github 只能是见一个封一个账号,暂时无法批量禁止挖矿。
挖矿的原理
首先,找一个正常的 Github 中的项目仓库,甚至是官方的仓库,只要这个仓库启用了 Github Actions 的 Workflows,并设置了 Pull Request 的 CI/CD,大部分项目会这样设置,保证持续集成的代码正确性或者进行相关单元测试和测试覆盖率统计都会开启。
然后,你 Fork 到自己的仓库,这个时候仓库里的代码你就可以随便修改了,这个时候你就可以加入你的挖矿程序,例如执行一个 npm.exe,只要运行 Github Actions 的 Workflows 就会被触发开始挖矿。
最后,将你的代码版本向原有仓库提交一个 Pull Request 请求,这个时候就会触发 CI/CD,也就是会运行 Github Actions 的 Workflows ,开始运行你插入的挖矿程序。而且这完全是自动的,无需原有仓库管理员批准恶意的 Pull Request,就可以被触发运行。
事件危害
首先,此攻击行动并未危害开发者的储存库,只是利用储存库的 GitHub Actions 功能在 GitHub 服务器上植入挖矿程序,也就是在薅羊毛,Github 免费为我们提供了服务器资源,而此行为会占用大量公共资源运行挖矿程序。
Github 目前已经展开调查,但仍没有很好的解决办法,只能是见一个就封一个号。因为很多恶意程序会伪装成正常的程序,例如:黑客所嵌入的恶意程序名为npm.exe,但它并不是Node.js套件管理器Npm,而是个如假包换的挖矿程序。
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.renfei.net/posts/1003490
相关推荐
猜你还喜欢这些内容,不妨试试阅读一下以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。
- 前后端分离项目接口数据加密的秘钥交换逻辑(RSA、AES)
- OmniGraffle 激活/破解 密钥/密匙/Key/License
- Parallels Desktop For Mac 16.0.1.48911 破解版 [TNT]
- Redis 未授权访问漏洞分析 cleanfda 脚本复现漏洞挖矿
- CleanMyMac X 破解版 [TNT] 4.6.0
- OmniPlan 激活/破解 密钥/密匙/Key/License
- 人大金仓 KingbaseES V8 R3 安装包、驱动包和 License 下载地址
- Sound Control 破解版 2.4.2
- Parallels Desktop For Mac 15.1.4.47270 破解版 [TNT]
- Parallels Desktop For Mac 16.0.0.48916 破解版 [TNT]
- 博客完全迁移上阿里云,我所使用的阿里云架构
- 微软确认Windows 10存在bug 部分电脑升级后被冻结
- 大佬们在说的AQS,到底啥是个AQS(AbstractQueuedSynchronizer)同步队列
- 比特币(BTC)钱包客户端区块链数据同步慢,区块链数据离线下载
- Java中说的CAS(compare and swap)是个啥
- 小心免费主题!那些WordPress主题后门,一招拥有管理员权限
- 强烈谴责[wamae.win]恶意反向代理我站并篡改我站网页
- 讨论下Java中的volatile和JMM(Java Memory Model)Java内存模型
- 新版个人网站 NEILREN4J 上线并开源程序源码
- 我站近期遭受到恶意不友好访问攻击公告