首页 > 业界 > 关键词 > GitHub最新资讯 > 正文

GitHub正调查有害行为者滥用其服务器基础设施进行加密采矿活动

2021-04-05 08:56 · 稿源:cnbeta.com

代码托管服务GitHub的发言人今天表示其在积极调查一系列针对其云基础设施的攻击,这些攻击让网络犯罪分子植入并滥用该公司的服务器进行非法的加密采矿作业。这些攻击自2020年秋季以来一直在进行,其滥用了GitHub的一个名为GitHub Actions的功能,该功能允许用户在其GitHub仓库内发生某个事件后自动执行任务和工作流程。

GitHub-attacker-job.jpg

在今天的电话中,荷兰安全工程师Justin Perdok表示至少有一个威胁行为者正在针对可能启用GitHub Actions的GitHub仓库。

攻击涉及伪造一个合法的库,将恶意的GitHub Actions添加到原始代码中,然后向原始仓库提交Pull Request,以便将代码合并回原始仓库。但攻击并不依赖于原始项目所有者批准恶意Pull Request。Perdok说,只要提交Pull Request就足以实现攻击。

GitHub-attacker-history.png

这位荷兰安全工程师告诉我们,攻击者专门针对那些拥有自动化工作流程的GitHub项目所有者,这些项目所有者通过自动化作业测试传入的Pull Request。

一旦这些恶意Pull Request被提交,GitHub的系统就会读取攻击者的代码,并通过虚拟机在GitHub的设施上下载并运行加密货币挖掘软件。

攻击者仅通过一次攻击就产生了100个虚拟加密矿机,从而为GitHub的基础设施创造了巨大的计算负荷。攻击者似乎是随机发生的,而且规模很大。Perdok表示,他发现至少有一个账户创建了数百个包含恶意代码的Pull Request。

这些攻击似乎至少从2020年11月开始发生,当时第一例是由一名法国软件工程师报告的。

在今天的一封电子邮件中,GitHub表示,他们 "意识到这种活动,并正在积极调查",他们去年对法国工程师也是这么说的。然而,现在的解决方案似乎知识在和攻击者玩猫捉老鼠的游戏,因为一旦旧账户被检测到并暂停,攻击者就会注册新账户。

目前,这次攻击似乎没有以任何方式破坏用户的项目,似乎只是专注于滥用GitHub基础设施。

这篇文章对你有价值吗?

  • 相关推荐
  • 大家在看
  • GitHub 调查滥用其基础设施挖掘加密货币

    GitHub 正在调查一系列对其基础设施的攻击,攻击者滥用其自动化执行任务的功能 GitHub Actions 去挖掘加密货币。攻击者首先创建了合法项目的分支,然后向原代码库递交恶意的 Pull Reques,只需要递交就能发动攻击。如果项目启用了 GitHub Actions,那么新的 Pull Reques 就会被视为新的任务自动执行测试。GitHub 的系统将会读取恶意代码,在其基础设施内启动虚拟机下载和运行挖掘加密货币的软件。这一攻击至少从2020年11月就开始了

  • 倒计时3天!BlueHost全场主机服务器五折促销

    阳春三月,BlueHost中国给大家带来了三月钜惠送豪礼,任意机房主机服务器全场最高可享五折优惠。促销活动截止到3月12日,有需要的朋友可以关注哦!据悉,BlueHost虚拟主机/云虚拟主机最高可享5折超级优惠,无限空间和流量;美国VPS主机全场5折优惠,其中高速稳定SSD美国VPS仅需25元/月;美国服务器和香港服务器最高可享5折,其中千兆独享大流量美国服务器399元/月起;美国站群服务器一口价699元/月低价促销。使用优惠码即可享受!B

  • 让数据不再裸奔 中兴通讯服务器存储产品的信心之源

    2020 年 4 月,《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》(以下简称“《意见》”)发布,数据作为一种新型生产要素被写入国家文件中,与土地、劳动力、资本、技术等传统要素并列为要素之一。数据的价值正在被重新认识,那么数据的安全该如何守护呢?中兴通讯为服务器存储注入“定心丸”随着社会数字化、智能化飞速发展,海量的数据在带来挑战的同时,亦孕育了无限机遇和可能。在疫情的冲击下,越来越多

  • PHP的Git服务器被黑客攻击 源码库被添加后门

    在最新的软件供应链攻击中,PHP官方Git仓库被黑客攻击,代码库被篡改。昨天,PHP 团队在 git.php.net 服务器上维护的 php-src Git 仓库中被推送了两个恶意提交。攻击者在上游提交了一个神秘的改动,称其正在"修复排版",假装这是一个小的排版更正,并且伪造签名,让人以为这些提交是由已知的PHP开发者和维护者Rasmus Lerdorf和Nikita Popov完成的。

  • 腾讯云服务器爆品秒杀活动地址 2021腾讯云服务器最新优惠活动

    腾讯云服务器在最近开启了最新的爆品秒杀活动,这个活动中1核2G的云服务器只要首年99元即可获得,很多朋友还不清楚具体的活动地址,下面就来为大家分享一下腾讯云服务器最新优惠活动地址。

  • 龙之谷手游停运公告 将于6月1日11点正式关闭服务器

    2021年3月22日,在今天早上10点,龙之谷手游的官方正式发布了停运公告,表示3月22日就停止游戏充值和新用户注册,之后会在6月1日关闭服务器。

  • 微软完成对Bethesda母公司的收购,可能独占《辐射》等游戏

    微软宣布完成对ZeniMax Media75亿美元的收购,完成收购之后旗下的游戏开发工作室贝塞斯达(Bethesda)和id Software将正式划入微软的麾下。未来贝塞斯达的作品,如《上古卷轴》、《辐射》、《毁灭战士》等新作品可能成为Xbox的独占作品。

  • 软件加密库OpenSSL出现高危漏洞,容易遭黑客攻击致服务器崩溃

    日前,OpenSSL 项目修复了一个高危漏洞,该漏洞允许黑客发送特制恶意请求完全关闭大量的服务器。OpenSSL 是最广泛使用的软件加密库,提供了经过时间考验的靠谱的加密功能。

  • 面对高通量、任务关键型环境总没辙?群晖企业级NAS服务器解决管理难题!

    数字化经济时代,大数据正逐步深入发展至经济生活和社会活动的各个领域,越来越多的企业也将数据作为一种战略资源,重新定义并努力挖掘数据价值。随着企业业务运营过程中处理的数据量越来越大,指数级的数据增长给企业造成存储压力的问题日益凸显,选择理想的企业级数据管理产品和解决方案、构建完善的企业IT服务环境,就成了广大企业用户的当务之急。作为践行企业生产力并为客户提供多样的数据管理解决方案的科技企业,群晖科技为

  • 戴尔科技集团发布面向人工智能和边缘计算的新一代PowerEdge服务器

    戴尔科技集团(NYSE:DELL)宣布推出新一代更强大、更安全的戴尔易安信PowerEdge服务器。借助这些全新服务器,戴尔正在成就一条通往自主基础设施的道路,旨在提高IT效率、拥抱人工智能并满足边缘的IT需求。从核心数据中心到公有云和边缘位置,无论数据存储在哪里,这个全球销量领先的服务器产品系列 2 都能提供强大的功能,帮助客户从这些数据中获取实时洞察并进行数据处理。这 17 款全新的PowerEdge服务器融入了 1100 项戴尔已经?

  • 西部数码云服务器促销,满减优惠券无限领,高可立省1800元!

    开年后,不少用户开始投入新一年的工作了,这个时候做网站的不可避免会用到云服务器。但服务器动辄几百上千,甚至上万,要有效的节省运维成本,就要在云服务器大幅促销的时候下手了。比如,现在西部数码开年大促,云产品满减优惠无限次领取,单笔最高可省1800元,而且只要有消费就能参与iphone12、mate40等大奖抽取。

  • 微软将Xbox基础网络服务更名为Xbox Network

    ​根据外媒报导,微软近期已经将针对Xbox 游戏平台的网络服务品牌从行之有年的「Xbox Live」更名为「Xbox Network」,官方表示这是为了区分Xbox 基础网络服务与付费会员服务「Xbox Live 金会员」。

  • 英伟达将在旗舰加密采矿卡中使用其GA100 Ampere GPU

    上个月,英伟达宣布计划将四个名为CMP30HX,CMP40HX,CMP50HX和CMP90HX的加密矿卡(CMP)推向市场。最近爆料人士kopite7kimi称英伟达正在开发第五张CMP矿卡,可能会对矿工有更多的吸引力,传闻这张矿卡将会基于英伟达GA100 Ampere GPU。

  • 2021华为云服务器大额优惠券领取地址 华为云8800元代金券礼包获取

    相信不少小伙伴都有用华为云服务器,最近华为云开启了最新的云服务器打折采购季活动,还可以领取8800元的大红包,其中有大额优惠代金券,下面就来为大家分享一下华为云服务器的优惠券领取地址。

  • 英伟达联手阿里云和英迈中国举办线上TensorRT Hackathon大赛

    AI 技术随着深度学习的出现,计算领域也正在经历着重大的变革,深度学习的训练和推理性能均依赖于 GPU 加速技术的合理运用。英伟达为了让科学家、工程师、开发者们能更好地利用GPU,使其在做深度学习推理的时候达到更好的效果。推出了支持高性能深度学习推理加速引擎——TensorRT。TensorRT是一个高性能的深度学习推理(Inference)优化器,可以为深度学习应用提供低延迟、高吞吐率的部署推理。TensorRT可用于超大规模数据中心、?

  • 《为歌而赞》强强对决掀热议,THE9突破自身深情演绎抒情歌

    3月20日晚,由浙江卫视和抖音联合出品的跨屏互动综艺《为歌而赞》第二期继续上线播出,张信哲、张韶涵、THE9、马思唯、宝石Gem以及唐汉霄在舞台上的精彩演绎,为观众打造了一个看点十足的音乐派对。与首期节目相比,歌手们都有了更多的变化,面对百赞团时的心态与想法、舞台表演上的改变与突破、以及音乐创作上的思考与探索等等,歌手们在新一期都为观众展现出了更多面的自己。在强强对决的舞台上,最终唐汉霄凭借着改编热歌《绿色

  • 德云色给LPL上单排名:Theshy居然没进前三

    斗玩网原创:今年的LPL联赛看点实在很多,除了强队之间的差距变小之外,在很多位置都出现了多名顶尖级别的选手,尤其是上单位置,今年的LPL激烈程度堪比世界赛。在今年的上单位中,除了新加入的世界赛冠军上单Nuguri之外,原本中单位置的小虎也转到上单位置,这增加了这一位置竞争程度。对于拥有这么多顶级上单的LPL赛区,德云色也在最近给出他们心中最强的LPL上单名单。

  • 就业新趋势解读,风变编程Python让你走在职场技能前沿

    在招聘平台上,我们可以发现许多编程的工作岗位供不应求,而且薪资待遇不是一般的丰厚,其实,掌握一门编程语言,不仅可以帮助个人迈入软件开发以及人工智能等领域的行业,同时,在这个AI智能发展逐步成熟的时代,也是具有前瞻性的。许多人都了解,如今的人工智能就是时代的风口,而许多人都想要把握住这一机遇,却不清楚入口在哪里。许多广告,无论是行业还是投资,都打着人工智能风口的名头,而实际上,Python才是进入人工智能行

  • 优化营商环境数字化抓手——实在智能“政策计算”架起惠企服务桥梁

    打开微信小程序,手指点一点,海量政策就会与企业自动量身匹配,各种政策根据匹配度从高到低出现在手机屏幕上,对于符合条件的政策直接一键享兑,对于不符合的政策指出原因指明方向……近日,浙江丽水经济技术开发区的一家化工企业切身体验到数字化改革带来的便利。几步简单的操作,“一键直达”优惠政策,成功申领10万元政策补助。该企业负责人欣喜地表示,以前查找政策需要到处查询,政策文件内容多、学习理解门槛高、中介机构收

  • 我们为新一代观众量身定做了一场“梦境” | THE9演唱会制作团队幕后揭秘

    3 月 26 日晚 8 点,THE9“虚实之城”沉浸式虚拟演唱会第一场“昼·造梦”即将拉开帷幕。作为THE9 成团后的首场演唱会,这次运用XR技术打造的舞台备受瞩目。从已经释出的视频和海报物料来看,包含了宇宙星系、倒挂的摩天大楼、无限延展的城市等十几个演出场景,未来感与科技感拉满。使用比肩全球的XR技术打造虚拟舞台,此次THE9 演唱会受到了粉丝的广泛关注与讨论。据了解,该演唱会官宣 24 小时内预约购票量便突破 10 万,甚至出?

  • 热门标签