黑客滥用GitHub Actions功能以于GitHub服务器上挖矿

近日陆续有开发者发现,黑客滥用GitHub Actions功能在GitHub服务器上植入挖矿软件,利用GitHub资源来开采加密货币,GitHub则已得知此事并展开调查。

GitHub Actions为GitHub所推出的持续集成、持续交付与持续部署(CI/CD)服务,可用来自动化GitHub存储库中的软件工作流程与任务。

荷兰安全工程师Justin Perdok向The Record解释,黑客先替一个合法的存储库创建了分支,再加入恶意的GitHub Actions,之后提出Pull Request请求,以将分支整合至原始存储库中。

然而,该攻击并不真的需要原始存储库的所有人来批准分支,因为在黑客提出Pull Request请求之后,GitHub系统就会创建一个虚拟机以读取恶意分支的程序代码,接着就会在GitHub的架构上下载挖矿程序,利用GitHub服务器来替黑客挖矿。

BleepingComputer则报道,黑客所嵌入的恶意程序名为npm.exe,但它并不是Node.js组件管理器Npm,而是个如假包换的挖矿程序。此外,该报也发现,其它黑客很快就如法炮制,以另一挖矿程序XMRig来取代npm.exe。

黑客的攻击锁定了采用GitHub Actions的存储库,相关攻击于去年11月便已现身。Perdok透露,至少有一个账号提交了数百个含有恶意程序代码的Pull Requests,且单次攻击就能传送100个挖矿程序。

该攻击行动并未危害开发者的存储库,只是利用存储库的GitHub Actions功能于GitHub服务器上植入挖矿程序,而GitHub则已展开调查。