时间:2023-06-15|浏览:210
小白:最近显卡的价格一路上涨,我有个朋友说他想卖掉自己的显卡赚一点差价。
大东:的确,19年的显卡现在可能已经翻了一番。
小白:似乎和产能下降有关。
大东:没错,除了产能下降,虚拟货币的火热也是显卡价格上涨的原因。
小白:还有“矿老板”囤积显卡来挖矿,市场供大于求,显卡价格自然就会上涨。我还看到有新闻报道说:黑客入侵电脑让电脑替他们挖矿呢。
大东:这种现象确实存在。最近,黑客已经不满足通过入侵个人主机让电脑帮忙挖矿了,他们盯上了服务器,例如github、dockerhub、travisCI和CirCleCI等。
小白:这是怎么回事呢?东哥,你能讲一下吗?
二、话说事件
大东:当然可以,让我把事情的经过捋一捋。
小白:如果黑客入侵github的服务器,技术难度会很高吧。
大东:实际上他们是钻了github的一个空子,这个入侵过程可能比侵入个人电脑还要容易,甚至不需要个人上当受骗。侵入个人电脑还可能出现钓鱼邮件。
小白:欸,那是怎么做到的呢?
大东:实际上是利用了github action的自动执行工作流的功能,轻松地将挖矿程序运行在github的服务器上。只需要提交pull request,即使项目管理者不同意,恶意挖矿代码依然能够执行。
小白:哦,看起来操作确实比较简单。那github的工作人员有采取措施缓解或者制止吗?
大东:github工作人员当然也想禁止这种现象的发生,但似乎没有起到很好的效果。他们采取的方式是封锁违规账号,但黑客可以新建一个账号,就像在玩“猫和老鼠”游戏一样。官方人员心里也很苦。
小白:那这个现象是什么时候被发现的,到现在有多久了呢?
大东:去年11月,一位敏锐的程序员发现黑客在薅github服务器的羊毛,到现在这种攻击方式仍在存在,甚至有荷兰的程序员在攻击代码中发现中文。
小白:如果我是github工作人员,我的内心一定很郁闷。那我们该怎么做呢?
大东:虽然不需要被攻击的仓库管理者接受恶意pull request,但需要在.github/workflows目录里配置了在收到pull request时执行,才会执行黑客的action。所以如果没有使用这个功能,黑客可能不会找上你。
小白:那如果我需要使用这个功能呢?这会不会给黑客可乘之机?
大东:不必太担心,有解决办法。你可以设置只允许本地action或只允许Github官方及特定作者创建的action。你还可以将情况反馈给客服,GitHub会对恶意账号进行封号和关闭相关pull request的操作。
三、大话始末
小白:我还想知道黑客是怎么被发现的,东哥你知道吗?
大东:当然知道,让我详细讲一下。
小白:好的。
大东:去年11月,一名程序员Tib发现自己在一个没有参加的repo上收到了7个PR请求,这些请求全是来自“y4ndexhater1”的用户,且没有任何描述内容。这让他十分惊讶。他点开项目主页,发现了几个不太正常的点。
小白:是什么点呢?
大东:首先这个项目不是很热门,star数量为0。其次打
用戶喜愛的交易所
已有账号登陆后会弹出下载