代码托管服务GitHub的发言人今天表示其在积极调查一系列针对其云基础设施的攻击,这些攻击让网络犯罪分子植入并滥用该公司的服务器进行非法的加密采矿作业。这些攻击自2020年秋季以来一直在进行,其滥用了GitHub的一个名为GitHub Actions的功能,该功能允许用户在其GitHub仓库内发生某个事件后自动执行任务和工作流程。

在今天的电话中,荷兰安全工程师Justin Perdok表示至少有一个威胁行为者正在针对可能启用GitHub Actions的GitHub仓库。

攻击涉及伪造一个合法的库,将恶意的GitHub Actions添加到原始代码中,然后向原始仓库提交Pull Request,以便将代码合并回原始仓库。但攻击并不依赖于原始项目所有者批准恶意Pull Request。Perdok说,只要提交Pull Request就足以实现攻击。

这位荷兰安全工程师告诉我们,攻击者专门针对那些拥有自动化工作流程的GitHub项目所有者,这些项目所有者通过自动化作业测试传入的Pull Request。

一旦这些恶意Pull Request被提交,GitHub的系统就会读取攻击者的代码,并通过虚拟机在GitHub的设施上下载并运行加密货币挖掘软件。

攻击者仅通过一次攻击就产生了100个虚拟加密矿机,从而为GitHub的基础设施创造了巨大的计算负荷。攻击者似乎是随机发生的,而且规模很大。Perdok表示,他发现至少有一个账户创建了数百个包含恶意代码的Pull Request。

这些攻击似乎至少从2020年11月开始发生,当时第一例是由一名法国软件工程师报告的。

在今天的一封电子邮件中,GitHub表示,他们 “意识到这种活动,并正在积极调查”,他们去年对法国工程师也是这么说的。然而,现在的解决方案似乎知识在和攻击者玩猫捉老鼠的游戏,因为一旦旧账户被检测到并暂停,攻击者就会注册新账户。

目前,这次攻击似乎没有以任何方式破坏用户的项目,似乎只是专注于滥用GitHub基础设施。

发表回复

后才能评论

本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。

最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。 若排除这种情况,可在对应资源底部留言,或联络我们。

对于会员专享、整站源码、程序插件、网站模板、网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。

如果您已经成功付款但是网站没有弹出成功提示,请联系站长提供付款信息为您处理

源码素材属于虚拟商品,具有可复制性,可传播性,一旦授予,不接受任何形式的退款、换货要求。请您在购买获取之前确认好 是您所需要的资源