利用 Github Actions 的 Workflows 挖矿挖掘数字加密货币

GitHub Actions 是一个 CI/CD 免费服务，现在正在被利用挖矿挖掘数字加密货币，什么是 GitHub Actions，我再另一篇文章中进行了介绍，此处不在赘述，请参考：《初体验 GitHub Actions Workflows 工作流入门教程以及我的使用感受》。

首先，利用 Github Actions 的 Workflows 挖矿挖掘数字加密货币这个行为是极为不道德的，占用了公共资源，我非常鄙视这样的人，而且警告各位不要尝试，Github 目前的解决方式是发现即封号，是封整个账号，请勿尝试！

事件介绍

利用 Github Actions 的 Workflows 挖矿挖掘数字加密货币最早是在 2020 年 11 月就被发现了，但目前没有很好的解决办法，Github 只能是见一个封一个账号，暂时无法批量禁止挖矿。

挖矿的原理

首先，找一个正常的 Github 中的项目仓库，甚至是官方的仓库，只要这个仓库启用了 Github Actions 的 Workflows，并设置了 Pull Request 的 CI/CD，大部分项目会这样设置，保证持续集成的代码正确性或者进行相关单元测试和测试覆盖率统计都会开启。

然后，你 Fork 到自己的仓库，这个时候仓库里的代码你就可以随便修改了，这个时候你就可以加入你的挖矿程序，例如执行一个 npm.exe，只要运行 Github Actions 的 Workflows 就会被触发开始挖矿。

最后，将你的代码版本向原有仓库提交一个 Pull Request 请求，这个时候就会触发 CI/CD，也就是会运行 Github Actions 的 Workflows ，开始运行你插入的挖矿程序。而且这完全是自动的，无需原有仓库管理员批准恶意的 Pull Request，就可以被触发运行。

事件危害

首先，此攻击行动并未危害开发者的储存库，只是利用储存库的 GitHub Actions 功能在 GitHub 服务器上植入挖矿程序，也就是在薅羊毛，Github 免费为我们提供了服务器资源，而此行为会占用大量公共资源运行挖矿程序。

Github 目前已经展开调查，但仍没有很好的解决办法，只能是见一个就封一个号。因为很多恶意程序会伪装成正常的程序，例如：黑客所嵌入的恶意程序名为npm.exe，但它并不是Node.js套件管理器Npm，而是个如假包换的挖矿程序。