加密货币价格一路高涨,显卡又买不起,怎么才能廉价挖矿?
黑客们动起了歪心思,白嫖服务器给PC植入挖矿木马已经无法满足黑客日益增长的算力需求。
如果能用上Github的服务器还不花钱,那当然是极好的,而且整个过程可能比侵入PC还容易,甚至都不需要程序员上当受骗。
只需要提交Pull Request(PR),即使项目管理者没有批准恶意挖矿代码,依然能够执行。
原理也很简单,有Github Action的自动执行工作流功能,轻松将挖矿程序运行在Github的服务器上。
早在去年11月,就已经有人发现黑客这种行为。
更可怕的是半年过去了,这种现象依然没有得到有效制止。Github, 稀里糊涂啊。虽然可以封禁违规账号,但黑客们玩儿起了游击战术,不断更换马甲昊逃避追捕。让官方疲于奔命。
就在几天前,一位荷兰的程序员还发现,这种攻击方式依然存在,甚至在哪里还出现了中文。
那么这些黑客是如何植入挖矿程序的呢?一切要从发现异常的法国程序员Tib说起。
去年11月,Tib发现自己在一个没有参加的Repo 上收到了PR请求。
而且在14个小时内就收到了七个,全是来自一个Y4ndexhater1的用户,没有任何描述内容。
令人感到奇怪的是,这并不是一个热门项目,star数量为零。
打开项目主页发现内容是Perl 项目的Github Action Circle ci travils-ci 示例代码集合.
整个README文档一团糟,根本不像一个挣钱的开源项目。
然而就是这个混乱又冷门的Repo,居然在三天里fork两次,一切都太不正常了,让人嗅到了一丝不安的气息。
按照作死的精神,下个决定一探究竟。
经过那位可疑用户操作。Tib所有的action都被删除,在工作流里被加入了一个CI YML文件,
当Tib看到这一行内容后,立刻从沙发上跳了起来。
他意识到事情的严重性,有人在入侵他的Github 个人资料。
这串看似神秘的字符,即使是base64编码,经过翻译后得到了另一段代码。
前面两行不必解释。有意思的地方,从第三行开始,他会下载一个pronger2进制文件。
为了安全起见,Tib先尝试获取信息,而不是执行,得到了他的16进制代码。Tib也考虑过反编译,但是没有成功。不入虎穴,焉得虎子,下一步决定尝试运行一下。
防止“试试就逝世” 。Tib 首先断开了电脑的网络连接,并选择在Docker容器中运行。
但终于揭晓,原来这个prog是一个名为XMRIG的挖矿程序。当时XMRIG的最新版恰好是6.8.1。和上面的版本参数符合.。
不过用SHA256检测后发现这个prog并不是完全的XMRIG,Tib预测它可能是一个修改版。
实际上可能被攻击的不止Github。安全公司Aqua推测像Docker Hub, Travils Ci,Ccircle CI这些SAAS软件开发环境有可能遭受这类攻击。
在这个攻击过程中会派生一个合法的Repo,负责将恶意的GitHub Action 添加到原始代码,然后黑客再向原始Repo 提交一个PR,将代码合并回原始的REPO。
下载的挖矿程序会伪装成prog或者GCC的编译器,通过提交PR在项目执行自动化工作流。
此时服务器将运行伪装后的挖矿程序。
这些攻击者仅一次攻击就可以运行多达100个挖矿程序,从而给GitHub 的服务器带来了巨大的计算量。
据Aqua估计,仅在三天的时间里。挖矿黑客就在GitHub上有超过2.3 3万次commit。
在Docker Hub上5.8万次build,转化了大约3万个挖矿任务。
这种攻击甚至不需要被攻击的仓库管理者接受恶意pull request。
然后在GitHub / workflows目录里任意YML文件中配置了Pull Request时执行。
来自黑客的Action就会自动被执行。如果你没有使用这个功能,那就不用担心了。
黑客大概也不会找上你。需要用到这个功能的话,可以设置成只允许本地action或只允许GitHub官方的Action。
将情况反馈给客服后,GitHub会对恶意账号进行封号和关闭相关Pull Request操作。但恶意攻击很难被根除。
黑客只需要注册新的账号就可以继续白嫖服务器资源。
我们从最近一次攻击中发现,黑客将挖矿程序上传到GitLab 并伪装成包管理工具NPM。
打开这个可疑的Nani bat,可以看到这一次黑客挖的是乌龟币,可以使用CPU计算。按当前价格挖出四千多个币才值一美元。
GitHub Actions的免费服务器可以提供英特尔E5 2673V4的两个核心,7GB内存,大致估算单台运行一天只能获利几美分。
而且黑客的挖矿程序通常只能在被发现之前运行几个小时,比如Docker Hub 就把自动build的运行时间限制在两个小时。
不过蚊子再小也是肉。黑客通过寻找更多接受公开Action的仓库,以及反复打开关闭Pull Request 就能执行更多的挖矿程序。
正如twitter用户Dave Walker所说的,如果你提供免费的计算资源,需要做好,会被攻击和滥用的觉悟,挖矿有利可图的情况下,这是不可避免的。
据报道,受害者不止GitHub ,还有 Doctor Hub, Travis CI,以及 Circle CI 等 提供类似服务的持续集成平台。
这一乱象不知何时才能结束。
唯一的好消息可能就是挖矿的黑客似乎只是针对GitHub提供的服务器资源,而不会破坏你的代码。
但是GitHub action的漏洞不止这一个,还有方法能使黑客读写开发者的仓库,甚至可以读取加密的机密文件。
去年7月,Google project Zero 团队就已向GitHub 通报漏洞。
但在给出了90天修复期限+延长14天后,GitHub 仍未能有效解决。
类似我们的建议是,不要轻易相信GitHub 市场里的action作者。
不要交出你的秘钥。
今天看到这新闻还是不惊讶的,毕竟白嫖党哪里都有。
另外推荐个服务器,用来做小型网站和博客,以及用来练手都是非常不错的。。
正好最近 腾讯云 有新活动,2核2G 原价600元一年的网站服务器仅需40元。
也就一包烟钱的价格,就可以来练手了。。。是不是很划算?
直达链接: https://cloud.tencent.com/act/2022season
转载请注明:日记男孩的博客 » 黑客用GitHub服务器挖矿虚拟货币