有人滥用 GitHub Actions在 GitHub 服务器挖掘密币，且正在蔓延

GitHub Actions 是 CI/CD 解决方案，便于设置定期任务，自动化执行软件工作流。这起攻击将恶意 GitHub Actions 代码添加到从合法项目 fork 的仓库种，并为原始仓库维护人员创建了一个 Pull Request，合并该恶意代码。

但攻击的成功实施无需合法项目维护人员进行任何操作。BleepingComputer 还表示，该恶意代码从 GitLab 加载了错误命名的密闭挖掘机 npm.exe，并通过攻击者的钱包地址进行运行。另外，该时间披露后，BleepingComputer 注意到更多以这种方式攻击 GitHub 项目的山寨攻击。

本周，荷兰安全研究员 Justin Perdok 表示，攻击者正在攻击 GitHub 仓库，利用 GitHub Actions 挖掘密币。仓库一般使用 GitHub Actions 便于开展 CI/CD 自动化和任务调度。然而，这种攻击滥用的是 GitHub 自身的基础设施，传播恶意软件并在其服务器上挖掘密币。

攻击者fork启用了 GitHub Actions 的合法仓库，随后在fork版本中注入恶意代码，并提出 Pull Request，使原始仓库的维护人员合并该恶意代码。

Perdok 指出，至少有95个仓库遭攻击。

然而，始料未及的是，这起攻击无需原始项目的维护人员批准恶意 Pull Request 即可执行。Perdok 指出，恶意攻击者只需提起 Pull Request 即可触发攻击。对于设置了自动化工作流，通过 Actions 验证导入 Pull Request 的 GitHub 项目而言更是如此。只要原始项目创建了 Pull Request，GitHub 系统将执行攻击者的代码，通过虚拟机指示 GitHub 服务器检索并运行密币挖矿机。

恶意 Pull Request 调用的自动化代码指示 GitHub 服务器下载托管在 GitLab 上的密币挖矿机，这个挖矿机被错误地标记为 “npm.exe”。

但该 npm.exe和官方 NodeJS 下载程序或 Node Package Manager (npm) 之间并无任何关系，它是一个已知的密币挖矿机。

分析发现，攻击者发布 npm.exe，将自己的钱包地址当作参数传递，如下wallet部分所示：

测试时发现，该 EXE 连接到 turtlecoin.herominers.com 密币池并开始挖掘密币：

之后，Sonatype 公司的软件工程师 Mark Dodgson发现了更多的山寨攻击活动，提出Pull Requests，并攻击使用 GitHub Actions 的项目。打开恶意 Pull Requests 的用户账户似乎在超过50个合法仓库进行了相同操作。至今为止，已有90多个合法仓库受影响。

分析指出，这起攻击的变种从 XMRig的 GitHub 官方仓库中拉取开源 XMRig 密币挖矿机。这起山寨攻击中出现的钱包地址是：

该攻击池中的服务器如下，位于被攻击者修改过的 ci.yml 文件中：

GitHub 指出，目前正在调查此事。但似乎攻击者在玩打地鼠的游戏，一旦旧帐户被检测吊销，他们就会设立新账户。

这并非攻击者首次利用 GitHub 基础设施中的 GitHub Actions。

此前，程序员 Yann Esposito 就曾说明了一起类似攻击，攻击者向 Esposito 的GitHub 项目发起恶意 Pull Request。去年，GitHub 被滥用于托管可蠕虫的僵尸网络 Gitpaste-12，一个月后带着30多个 exploit 重返。

但不同于 Gitpaste-12 或 Octopus Scanner 恶意软件那样专门攻击易受攻击的项目和设备，本文所述攻击滥用 GitHub 服务器的目的仅仅是挖掘密币，似乎对用户项目并未造成任何损失。