另类牟利手段:开源软件中惊现比特币挖掘代码
E安全2月24日讯 过去几年中,陆续出现了多种极具创意的非常规性比特币挖掘手段,包括将相关代码嵌入至智能电灯乃至网络浏览器当中。然而如今,另一种新的恶意方法开始出现:将比特币挖掘代码偷偷添加至开源软件之内。
一旦成功,这种攻击意味着任何下载该开源软件的用户,其计算机都可能在不知不觉中运行比特币挖掘代码并消耗计算能力与电力为攻击者生成比特币。截至目前,1比特币的价值超过1000美元。E安全提醒请大家一定要保持警惕!
以下为E安全目前收集到的信息。就在上周末,俄罗斯开源开发者Alexey Palazhchenko发布推文表示,他的收到了一条来自GitHub某神秘帐户的请求,要求向其项目中添加代码。
Palazhchenko在回复邮件中写道,“我的项目其实一直鲜有贡献者,我当然希望增加贡献者数量,因此对这样的情况我开始抱有乐观情绪——哇哦,新的贡献者,太棒了,而且是对方主动要求参与。”
然而在检查该帐户时,他发现对方已经被GitHub封禁。他写道,这令他起了疑心。
开发者们会利用Pull请求(Pull request)申请将其代码添加至目标项目,且需要由主编码者批准方可实现。他写道,“我不可能接受这样的贡献。我的代码库规模很小,且完全处于另一领域。”基本上,他的项目很小且与比特币毫无关联,因此对方的请求就这样被搁置了。
Palazhchenko在Drone(一款持续集成工具,允许开发者即时对自己的代码片段进行更新,从而分析并更新每一项Bug及问题)开发者用户聊天室内分享了他的遭遇。
在聊天中,Drone项目联合创始人Brad Rydzewski写道,该Pull请求很可能属于一类尝试偷偷添加代码的、由机器人自动执行的恶意行为:
“几年之前,有一群比特币矿工开始编写用于创建GitHub及Drone用户ID的脚本,并进行冒名提交以挖掘比特币……这样的经验使我比较擅长检测这类恶意活动。”
Rydzewski并没有对外媒的采访要求予以回复。而在与GitHub方面的接触后,我们确认该帐户由一款专门用于将比特币挖掘代码添加至开源项目内的机器人负责操作。换言之,GitHub确实对其进行了封禁,且此前其还封禁过其它类似的机器人。
GitHub发言人在一份邮件声明中表示,“我们的团队意识到了这一问题并禁用对对应的代码库。我们正在积极与持续集成社区开展合作,从而发现并解决这些问题。”
将代码偷偷添加至软件当中的作法当然不好,不过好消息是代码库的拥有者必须批准相关请求,这种邪恶目的才能得以实现。如果不加批准,则不会出现什么样问题。然而Palazhchenko同志之所以能够发现疑点,是因为其项目规模不大且贡献者圈子比较单纯,其它开源项目则需要保持更为警惕的态度。
Palazhchenko最后写道,“虽然抱有怀疑,但我觉得这种添加比特币挖掘代码的伎俩在规模更大的代码库可能更易于实现。”
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。