GitHub Actions 被發(fā)現(xiàn)遭到攻擊者利用，以在 GitHub 的服務(wù)器進(jìn)行自動(dòng)攻擊挖掘加密貨幣。

GitHub Actions 是一個(gè)CI/CD解決方案，可以實(shí)現(xiàn)所有軟件工作流程的自動(dòng)化，并設(shè)置定期任務(wù)。而本次攻擊將惡意的 GitHub Actions 代碼添加到從合法倉(cāng)庫(kù)分叉出來(lái)的倉(cāng)庫(kù)中，并進(jìn)一步創(chuàng)建一個(gè) Pull Request，讓原倉(cāng)庫(kù)維護(hù)者將代碼合并回來(lái)，以改變?cè)即a。并且惡意代碼會(huì)從 GitLab 中加載一個(gè)挖礦程序 npm.exe，并使用攻擊者的錢包地址運(yùn)行它。

根據(jù)荷蘭安全工程師安全工程師 Justin Perdok 的說(shuō)法，攻擊者已經(jīng)瞄準(zhǔn)了使用 GitHub Actions 來(lái)挖掘加密貨幣的 GitHub 倉(cāng)庫(kù)。令人驚訝的是，該攻擊并不需要原項(xiàng)目的維護(hù)者批準(zhǔn)惡意的 Pull Request，惡意攻擊者僅僅提交 Pull Request 就足以觸發(fā)攻擊。這對(duì)于那些設(shè)置了自動(dòng)工作流，通過(guò) Action 來(lái)驗(yàn)證傳入 Pull Request 的 GitHub 項(xiàng)目來(lái)說(shuō)尤其如此。一旦為原始項(xiàng)目創(chuàng)建了Pull Request，GitHub 的系統(tǒng)就會(huì)執(zhí)行攻擊者的代碼。

目前，GitHub 表示他們已知道該問(wèn)題，正在積極調(diào)查。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：攻擊者利用 GitHub Action 在 GitHub 服務(wù)器上挖掘加密貨幣

本文地址：https://www.oschina.net/news/135871/github-action-npm