GitHub Actions 被發現遭到攻擊者利用，以在 GitHub 的服務器進行自動攻擊挖掘加密貨幣。

GitHub Actions 是一個CI/CD解決方案，可以實現所有軟件工作流程的自動化，并設置定期任務。而本次攻擊將惡意的 GitHub Actions 代碼添加到從合法倉庫分叉出來的倉庫中，并進一步創建一個 Pull Request，讓原倉庫維護者將代碼合并回來，以改變原始代碼。并且惡意代碼會從 GitLab 中加載一個挖礦程序 npm.exe，并使用攻擊者的錢包地址運行它。

根據荷蘭安全工程師安全工程師 Justin Perdok 的說法，攻擊者已經瞄準了使用 GitHub Actions 來挖掘加密貨幣的 GitHub 倉庫。令人驚訝的是，該攻擊并不需要原項目的維護者批準惡意的 Pull Request，惡意攻擊者僅僅提交 Pull Request 就足以觸發攻擊。這對于那些設置了自動工作流，通過 Action 來驗證傳入 Pull Request 的 GitHub 項目來說尤其如此。一旦為原始項目創建了Pull Request，GitHub 的系統就會執行攻擊者的代碼。

目前，GitHub 表示他們已知道該問題，正在積極調查。

本文轉自OSCHINA

本文標題：攻擊者利用 GitHub Action 在 GitHub 服務器上挖掘加密貨幣

本文地址：https://www.oschina.net/news/135871/github-action-npm