另类盈利方式：开源软件中发现的比特币挖矿代码

E安全网2月24日电 在过去的几年里，出现了各种非常有创意和非常规的比特币挖矿方式，包括将相关代码嵌入到智能灯甚至网络浏览器中。 然而，现在又出现了另一种新的恶意方法：将比特币挖矿代码偷偷放入开源软件中。

如果成功，攻击意味着任何下载开源软件的人都可以让他们的计算机在不知不觉中运行比特币挖掘代码并消耗计算能力和电力为攻击者生成比特币。 截至目前，1 个比特币价值超过 1,000 美元。 E 安全提示 请提高警惕！

以下是E Security目前收集的信息。 就在上周末，俄罗斯开源开发者 Alexey Palazhchenko 在推特上表示，他的在线代码库收到了一个神秘的 GitHub 账户的请求，要求向他的项目添加代码。

Palazhchenko 在回复邮件中写道，“我的项目一直以来贡献者很少，我当然希望增加贡献者的数量，所以我开始看好这种情况——哇，新的贡献者比特币信息app，太棒了，还有对方主动要求参加。”

然而比特币信息app，当他查看该账号时，却发现该账号已被 GitHub 封禁。 他写道，这让他产生了怀疑。

开发者使用Pull requests申请将自己的代码加入到目标项目中，需要得到主coder的同意后才能实现。 他写道，“我绝不会接受这样的贡献。我的代码库很小，而且在一个完全不同的领域。” 基本上，他的项目很小，跟比特币没有关系，所以对方的要求就搁置了。

Palazhchenko 在 Drone（一种持续集成工具，允许开发人员实时更新自己的代码片段以分析和更新每一个错误和问题）的开发者用户聊天室中分享了他的经验。

在聊天中，Drone 项目的联合创始人 Brad Rydzewski 写道，拉取请求可能属于恶意机器人自动尝试暗中添加代码的类别：

“几年前，一群比特币矿工开始编写脚本来创建 GitHub 和 Drone 用户 ID，并进行模拟提交以开采比特币……这种经历让我相对擅长检测此类恶意活动。”

Rydzewski 没有回应采访请求。 在联系 GitHub 后，我们确认该帐户是由一个旨在将比特币挖矿代码添加到开源项目中的机器人操作的。 也就是说，GitHub确实封禁了，之前也封禁过其他类似的bot。

在一份电子邮件声明中，GitHub 发言人表示，“我们的团队已经意识到这个问题，并已禁用相应的存储库。我们正在积极与持续集成社区合作，以确定并解决这些问题。”

将代码潜入软件当然是不好的，但好消息是代码库的所有者必须批准这种恶意目的的请求才能工作。 如果不被批准，则不会出现任何问题。 但是帕拉日琴科同志之所以能够找到疑点，是因为他的项目规模小，贡献者圈子比较单一。 其他开源项目需要保持更加警惕的态度。

Palazhchenko 总结道，“虽然持怀疑态度，但我认为这种添加比特币挖掘代码的技巧可能更容易在更大的代码库上实施。”