GitHub Actions 被發(fā)現(xiàn)遭到攻擊者利用，以在 GitHub 的服務(wù)器進行自動攻擊挖掘加密貨幣。

GitHub Actions 是一個CI/CD解決方案，可以實現(xiàn)所有軟件工作流程的自動化，并設(shè)置定期任務(wù)。而本次攻擊將惡意的 GitHub Actions 代碼添加到從合法倉庫分叉出來的倉庫中，并進一步創(chuàng)建一個 Pull Request，讓原倉庫維護者將代碼合并回來，以改變原始代碼。并且惡意代碼會從 GitLab 中加載一個挖礦程序 npm.exe，并使用攻擊者的錢包地址運行它。

根據(jù)荷蘭安全工程師安全工程師 Justin Perdok 的說法，攻擊者已經(jīng)瞄準(zhǔn)了使用 GitHub Actions 來挖掘加密貨幣的 GitHub 倉庫。令人驚訝的是，該攻擊并不需要原項目的維護者批準(zhǔn)惡意的 Pull Request，惡意攻擊者僅僅提交 Pull Request 就足以觸發(fā)攻擊。這對于那些設(shè)置了自動工作流，通過 Action 來驗證傳入 Pull Request 的 GitHub 項目來說尤其如此。一旦為原始項目創(chuàng)建了Pull Request，GitHub 的系統(tǒng)就會執(zhí)行攻擊者的代碼。

目前，GitHub 表示他們已知道該問題，正在積極調(diào)查。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：攻擊者利用 GitHub Action 在 GitHub 服務(wù)器上挖掘加密貨幣

本文地址：https://www.oschina.net/news/135871/github-action-npm