Приветствую.

В течение последних пары суток понабежали майнеры в публичные репозитории гитхаба, насоздавав более полусотни тысяч майнеров в сотнях крупных и средних публичных репозиториях.

I. Конкретнее

Что именно происходит это: человек делает форк вашего репозитория, меняет файлы конфигурации в Actions (CI, ну можно считать проверяющая система), пишет там скрипт, который скачивает майнер, и в 20 потоков его запускает, сделав pull request к основному репозиторию.

II. Что делать

Мой публичный репозиторий тоже попал под атаку этого человечка. Следующий алгоритм я рекомендую мейнтенерам:

1) Лочим conversation. Иначе наш замечательный умудряется открывать и закрывать pull request раз ~30, триггеря еще три десятка по 20 потоков

2) Блочим юзера. Иначе насоздает PR-ов

3) Останавливаем все workflows

4) Вот теперь репортим

III. Что это было

На момент написания этого поста прошло примерно около суток с момента, когда мой репозиторий попал под первую. Час назад юзеры beefybill1 и w0wn3r0 были удалены с гитхаба, именно они насрали суммарно порядка 200 PR x 30 workflows x 20 runners.

Почти все это время (кроме последнего часа), автор обоих аккаунтов (по моему предположению, один человек) имел десятки тысяч параллельно запущенных майнеров.

Его код я, разумеется, постить не буду. Хоть и меня позабавила строка

# Izvinite)))))

в его коде. С некоторой вероятностью ты, нехорошая личность, это читаешь. Ай-ай-ай!

IV. Подробности (для тех, кто ннп)

Гитхаб - это хостинг гит-репозиториев, в котором есть и открытые, и закрытые. В случаях открытых репозиториев, любой желающий может предложить изменение, оформив в соответствующем виде. При этом само изменение может касаться в том числе и проверяющей системы (Actions).

Такая заявка (pull request) будет проверяться Actions автоматически (если там так настроено). При этом сама проверка настраиваится в файлах репозитория, которые тоже можно поменять. Злоумышленник пишет там скрипт, который скачивает программу, ставит ее, и майнит для указанного кошелька.

При этом сам репозиторий не страдает (потому что эту заявку надо еще одобрить), страдает только GitHub Actions.

А точнее на одном из самых популярных в РБ - Ку*ар (чтобы рекламы не было).

Схема стара как мир, но может быть кому-то не знакома. Описываю с целью предупредить и предостеречь честных граждан.

*на скринах ничего не закрывал, не замазывал, если что - прошу простить за рекламу.

1. Пидорас Злоумышленник находит ваше объявление на сайте и начинает задавать вполне стандартные вопросы о товаре. И тут закрадывается первое сомнение - пишет нам злоумышленник в мессенджер, а не на сайте объявлений. Номер в профиле скрыт, кстати.

2. Как правило, находится злоумышленник в другом городе, не может приехать, никого из знакомых нет, чтобы забрать у вас предмет сделки, ну и дальше по списку. Следом поступает предложение оформить и провести сделку с помощью доставки сайта, на котором размещено объявление. Сразу обмолвлюсь - такая услуга есть, но с тем что предлагает злоумышленник, ничего общего эта услуга не имеет.

3. Далее с нас берут данные, которые мы обязательно называем, липовые естественно. И получаем ссылку. По ссылке, по предположению и заверению злоумышленника, мы введем данные своей карты и получим заветные денежные знаки, законно причитающиеся нам за товар.

4. Переходим по ссылке и видим сайт. Скорее мини сайт, фишинговый конечно, но добротно сверстанный, красиво умело подготовленный.

5. Как уже все догадались, введенные данные сразу пойдут к автору фишингового сайта, а затем с вашей карты будут списаны деньги. Может даже и не все, а может и все.

6. Для тех кто дочитал - будьте внимательны, смотрите на домены сайтов в ссылках от потенциальных покупателей, общайтесь на платформах объявлений, думайте головой и все подвергайте критике.

Такой подход может и попахивает паранойей, но поможет сохранить кровно заработанные.

За неделю продажи смартфона я провел два таких диалога. Оба в мессенджерах и оба похожи по схеме развода. А сегодня еще один - коллега с работы подошел и показал начало своего, аналогичного диалога.

И, да - забивают на таких чертей. Никто их не ищет и не преследует.

К чему я это все - не попадайтесь и всего вам хорошего.

В мессенджере WhatsApp стали приходить уведомления о том, что можно получить бесплатную бочку пива Heineken. Для этого достаточно заполнить небольшой опрос о своих алкогольных привычках, чтобы выявить, достойны ли вы награды. Однако вне зависимости от результатов опроса все получают радостную новость о выигрыше. Затем вам предлагают заполнить свои данные и поделиться событием с 15ю друзьями.

В своем Твиттере бренд Хейнекен написал, что это афера, и попросил не нажимать на ссылку. Раннее в этом году, компания предупреждала, что люди могут стать жертвами злоумышленников, так как фирменный знак и логотип Heineken, да и личные имена их сотрудников могут использоваться с целью обмана. Пивной бренд также сообщил, что любые подобные акции будут освещены на официальном сайте, если это будет актуальная информация.

Подобный случай с бедной компанией уже случался в 2018 году. Тогда якобы к 140-летию алкогольного бренда, Хейнекен дарил четыре 5-литровые бочки своего напитка. Вот только на тот момент пиву уже было 154 года и никакие акции оно не проводило. Схема была та же: подарок, небольшой опрос, личные данные и предложение поделиться своей радостью.

Чтобы не подвергать опасности свои данные всегда уточняйте об акциях на официальном сайте магазина или же позвоните по номеру, который указан там же. Видимо карантин и самоизоляция активизировали злоумышленников. Это хоть и ожидаемо, но весьма неприятно.

Будьте начеку,

WineStreet