黑客用 GitHub 服務器自動化挖礦，一次可運行上百礦機

「若是你提供免費的計算資源，就要作好會被攻擊和濫用的覺悟。挖礦有利可圖的狀況下這是不可避免的。」

這是社交媒體上的一個言論，談論的是前不久，黑客白嫖 GitHub 服務器進行挖礦的事件。早在去年 11 月，就有媒體曝出此類事件，惋惜到今天彷佛仍然未被禁止。

利用 GitHub Actions 加密挖礦，一次可運行上百礦機

去年 11 月，荷蘭安全工程師賈斯汀·珀多克（Justin Perdok）在一通電話中告訴媒體，至少有一個黑客正在針對可能啓用 GitHub Actions 的 GitHub 存儲庫。攻擊的過程很簡單，只需提交 Pull Request（PR），即便項目管理者沒有批准，惡意挖礦代碼依然可以執行。原理也很簡單，利用 GitHub Action 的自動執行工做流功能，輕鬆將挖礦程序運行在 GitHub 的服務器上。

Github 你們都很是熟悉，是一家使用 Git 進行軟件開發和版本控制的互聯網託管提供商，於 2018 年被微軟收購，目前該平臺上的開發者數量已近 9000 萬。Github Actions 是微軟此前推出的 CI/CD 解決方案，主要能夠幫助開發者和企業實現軟件工做流程的自動化任務。該服務亦可有限的進行無償使用，這致使有非法礦工和黑客盯上微軟試圖利用微軟提供的基礎架構進行挖礦操做。

這實際還可能牽涉 Github Acitons 存在的某處缺陷，即提交含有惡意代碼的合併請求無需原始做者贊成便可合併。分析顯示目前至少 95 個存儲庫遭到非法礦工和黑客的威脅，這些存儲庫被合併惡意代碼利用 Github 服務器挖礦。

目前尚不得知黑客挖的是哪一種幣，但從其使用的挖礦軟件 SRBMiner 來看，有多是以太坊等適用顯卡挖礦的 PoW 加密貨幣。據報道，黑客只要攻擊一次就能夠運行 100 多臺礦機，這給 GitHub 的服務器帶來了巨大的壓力。

彷佛「無解」，但蘊藏安全隱患

據報道，受害的不止 GitHub，還有 Docker Hub、Travis CI 以及 Circle CI 等提供相似服務的持續集成平臺。

正如咱們開頭所說，「若是你提供免費的計算資源，就要作好會被攻擊和濫用的覺悟。」GitHub 顯然已經有了這個覺悟，這也並不是黑客首次利用 GitHub 提供的免費服務發起進攻，但對於「被白嫖」，GitHub 彷佛仍未找到一種很好的解決方案。

在近日的一封電子郵件中，GitHub 表示，他們 "意識到這種活動，並正在積極調查"，但他們去年對法國工程師也是這麼說的。然而，如今的解決方案彷佛知識在和攻擊者玩貓捉老鼠的遊戲，由於一旦舊帳戶被檢測到並暫停，攻擊者就會註冊新帳戶。

目前，此次攻擊彷佛沒有以任何方式破壞用戶的項目，彷佛只是專一於濫用 GitHub 基礎設施。對普通用戶來講，彷佛並無太大的安全問題，但 GitHub Action 被曝出的漏洞彷佛不止這一個。據悉還有方法能使黑客讀寫開發者的倉庫，甚至能夠讀取加密的機密文件。

部分參考資料：
https://dev.to/thibaultduponc...
https://therecord.media/githu...
藍點網：《薅羊毛：黑客居然利用Github Actions薅微軟羊毛自動化挖礦》