小白：最近顯卡的價格一路上漲，我有個朋友說他想賣掉自己的顯卡賺一點差價。

大東：的確，19年的顯卡現(xiàn)在可能已經(jīng)翻了一番。

小白：似乎和產(chǎn)能下降有關(guān)。

大東：沒錯，除了產(chǎn)能下降，虛擬貨幣的火熱也是顯卡價格上漲的原因。

小白：還有“礦老板”囤積顯卡來挖礦，市場供大于求，顯卡價格自然就會上漲。我還看到有新聞報道說：黑客入侵電腦讓電腦替他們挖礦呢。

大東：這種現(xiàn)象確實存在。最近，黑客已經(jīng)不滿足通過入侵個人主機讓電腦幫忙挖礦了，他們盯上了服務(wù)器，例如github、dockerhub、travisCI和CirCleCI等。

小白：這是怎么回事呢？東哥，你能講一下嗎？

二、話說事件

大東：當然可以，讓我把事情的經(jīng)過捋一捋。

小白：如果黑客入侵github的服務(wù)器，技術(shù)難度會很高吧。

大東：實際上他們是鉆了github的一個空子，這個入侵過程可能比侵入個人電腦還要容易，甚至不需要個人上當受騙。侵入個人電腦還可能出現(xiàn)釣魚郵件。

小白：欸，那是怎么做到的呢？

大東：實際上是利用了github action的自動執(zhí)行工作流的功能，輕松地將挖礦程序運行在github的服務(wù)器上。只需要提交pull request，即使項目管理者不同意，惡意挖礦代碼依然能夠執(zhí)行。

小白：哦，看起來操作確實比較簡單。那github的工作人員有采取措施緩解或者制止嗎？

大東：github工作人員當然也想禁止這種現(xiàn)象的發(fā)生，但似乎沒有起到很好的效果。他們采取的方式是封鎖違規(guī)賬號，但黑客可以新建一個賬號，就像在玩“貓和老鼠”游戲一樣。官方人員心里也很苦。

小白：那這個現(xiàn)象是什么時候被發(fā)現(xiàn)的，到現(xiàn)在有多久了呢？

大東：去年11月，一位敏銳的程序員發(fā)現(xiàn)黑客在薅github服務(wù)器的羊毛，到現(xiàn)在這種攻擊方式仍在存在，甚至有荷蘭的程序員在攻擊代碼中發(fā)現(xiàn)中文。

小白：如果我是github工作人員，我的內(nèi)心一定很郁悶。那我們該怎么做呢？

大東：雖然不需要被攻擊的倉庫管理者接受惡意pull request，但需要在.github/workflows目錄里配置了在收到pull request時執(zhí)行，才會執(zhí)行黑客的action。所以如果沒有使用這個功能，黑客可能不會找上你。

小白：那如果我需要使用這個功能呢？這會不會給黑客可乘之機？

大東：不必太擔心，有解決辦法。你可以設(shè)置只允許本地action或只允許Github官方及特定作者創(chuàng)建的action。你還可以將情況反饋給客服，GitHub會對惡意賬號進行封號和關(guān)閉相關(guān)pull request的操作。

三、大話始末

小白：我還想知道黑客是怎么被發(fā)現(xiàn)的，東哥你知道嗎？

大東：當然知道，讓我詳細講一下。

小白：好的。

大東：去年11月，一名程序員Tib發(fā)現(xiàn)自己在一個沒有參加的repo上收到了7個PR請求，這些請求全是來自“y4ndexhater1”的用戶，且沒有任何描述內(nèi)容。這讓他十分驚訝。他點開項目主頁，發(fā)現(xiàn)了幾個不太正常的點。

小白：是什么點呢？

大東：首先這個項目不是很熱門，star數(shù)量為0。其次打

熱點：挖礦 顯卡