有黑客用 Game Boy 掌机挖比特币，预计需要数百万年

一位黑客因为买不到显卡挖矿，于是决定改造自己的 Game Boy 掌机来挖矿。Game Boy 只有 4.19 MHz 主频的 CPU，8KB 视频缓存，而且不支持联网。于是黑客通过树莓派 Pico 微控制器将 Game Boy 与计算机连到了一起。他在 PC 端下载了完整的比特币节点，为 Game Boy 打造了一个定制的挖矿固件。此外还修改了一款名为 ntgbtminer 的挖掘程序，以将挖矿计算分发到 Game Boy 上，而不依赖于 PC。

最终得到结果是 Game Boy 约有每秒 0.8 的哈希算力。作为对比，专用的 ASIC 矿机，哈希算力约为每秒 125 万亿。大约需要数百万年时间，Game Boy 就可以挖出一个新的比特币区块了。

实在是太有创意了！不过，如果要是在 BTC 创始初期，Game Boy 没准还真能挖出一两个区块的。

PHP 的 Git 服务器被黑客攻击，源码库被添加后门

昨天，PHP 团队在自己维护 Git 服务器上的仓库中被推送了两个恶意提交。这两个提交声称是修正文字输入错误，但实际上是植入了后门以实现远程代码执行，并且攻击者伪造了签名，让人以为这些提交是由 PHP 的创始人和另外一位维护者提交的。

据分析，这次恶意活动是由于 PHP 的 Git 服务器被入侵导致的，而不是开发者个人的 Git 账户被入侵。作为此次事件后的预防措施，PHP 维护人员决定将 PHP 官方源码库迁移至 GitHub。GitHub 上的 PHP 仓库，以前只是镜像，现在将成为正规来源，从现在开始，任何代码修改都要直接推送到 GitHub 上。

很多开源软件开发组织基于传统会自己维护代码管理基础设施，但是如果没有专门的人员和力量来保证其安全，反而带来了不必要的安全风险。

Google 安全团队破坏了美国政府黑客的行动

Google 安全团队本月中旬披露，一个顶尖黑客组织在 9 个月内利用了至少 11 个 0day 漏洞。该组织利用的漏洞被修复之后它会迅速改用另一个 0day。结果这个所谓的顶尖黑客组织被发现就是美国政府黑客，Google 的行动终止了政府黑客们的“反恐行动”。Google 内部对此举有不同的看法。

这是大水冲了龙王庙了啊~

贝尔实验室把 UNIX 姊妹系统 Plan 9 的版权转让给基金会

上世纪 80 年代，UNIX 的创始人们在贝尔实验室还开发了一个新的操作系统 Plan 9，但是却并没有真正推向世界。虽然 Plan 9 中有许多划时代的发明，比如 UTF-8 字符编码是为 Plan 9 发明的，并在 Plan 9 中首次实现；提出通过文件系统提供操作系统服务的概念；Plan 9 分布式的设计要比微服务架构早十多年等等。但 Plan 9 一直只是一个概念验证型操作系统，可以用 QEMU 虚拟机运行它，也可以运行在 PC 和树莓派上。

事实上，有一个活跃的社区一直在从事 Plan 9 的开发。这个社区正在自下而上地组织起来，成立了新的 Plan 9 基金会。本周，诺基亚贝尔实验室将把 Plan 9 软件的版权转让给 Plan 9 基金会，并以 MIT 许可证重新发布了所有历史版本。

这是一种“不实用”的操作系统，因为它实在太概念了，也没多少应用，但是确实是值得操作系统爱好者摆弄的好玩具。

全球最大比特币矿场出手买下了 NVIDIA 60% 的 CMP 矿卡

今年 2 月底，NVIDIA 宣布推出 CMP 系列矿卡，这些矿卡取消了视频输出接口，也不能运行 3D 游戏，只为挖矿而生。全球最大的比特币矿厂 Hut 8 Mining Corp 宣布他们已购买了价值 3000 万美元的 NVIDIA CMP 矿卡，定于 5 月下旬开始交付，预计将于夏季完成全面部署。这个新的挖矿系统可提供约 1600 GH/s 的算力，可用于挖以太币等加密货币。

虽然 CMP 矿卡推出也很受欢迎，但是 RTX 一样被疯抢，都是因为加密货币太火了。

攻击者入侵了 2 万台微软 Exchange 服务器，后门域名挑衅安全专家

Shadowserver 基金会是一个帮助网络所有者识别和修复安全威胁的非营利组织，它说已经发现了似乎被后门入侵的 21,248 台 Exchange 服务器。与这些服务器后门通讯的域名是一个名为 brian.krebsonsecurity.top 的域名，攻击者们用这个名字挑衅网络安全专家 Brian Krebs。虽然微软本月早些时候在紧急补丁发布中解决了这些缺陷，但是以及有大量的未打补丁的 Exchange 服务器被攻陷。

真是嚣张的攻击者，但是最主要还是企业的 IT 管理太烂了。

玩家解决了游戏中的垃圾代码，《GTA Online》奖励了玩家 1 万美元

本月初，一名《GTA Online》的玩家，同时也是一名开发者，分析了该游戏长达数分钟的加载时间，发现原因是该游戏需要解析一个 10MB 大小的 JSON 文件，而解析器本身有很大的问题。这位开发者对其进行了一番优化，成功将加载时间缩短了 69.4%。该游戏的开发方 Rockstar 接受了该玩家的优化方案，并通过 bug 悬赏项目向这位开发者奖励了 1 万美元。

这些日入斗金的公司，其推出的作品也有可能是粗制滥造的，要是都是开源的，想必这种低级问题很快就被解决了吧。

NVIDIA 承认不小心移除了 RTX 3060 挖矿限制

之前，NVIDIA 表示对 RTX 3060 显卡进行挖矿限制，挖矿效能减半，以确保 GeForce GPU 最终落到游戏玩家手中。然而，NVIDIA 官方近日发布的 470.05 版本开发者驱动，居然移除了 RTX 3060 的以太坊挖矿限制。NVIDIA 表示：“一款开发者驱动无意中集成了内部开发用的代码，可以在特定配置下，移除 RTX 3060 的哈希算法限制。”目前该驱动已经被撤除，但是已经扩散开了。

虽然，目前该 GPU 用于挖矿还存在一定限制，如必须采用 PCIe x8 以上的带宽、需要连接显示器等。不过相信在矿主们的牟利动力下，只要驱动问题解决了，这些都不是问题。

估计广大的游戏玩家又要失望了，毕竟花钱的动力比不过挣钱的。

谷歌的 Chrome 隐私沙箱功能被指责

多年来，谷歌一直在逐步减少对追踪 Cookie 的使用，且于本月初宣布将不再建立替代系统来追踪 Web 用户。

通过广泛地阻止 cookie，可能是一件好事，Firefox 和 Safari 等浏览器都已经做到了这点。然而包括前沿电子基金会（EEF）在内的诸多批评者指出，这些努力其实相当自私。美国的监管机构称，“谷歌正试图凭借隐私借口来隐匿自身的真实意图，即使有了隐私沙箱，……还是让自家 Chrome 浏览器处于追踪和定位的更中心位置。”对于主导了浏览器市场的 Chrome 来说，谷歌的新计划将使之成为广告商的中间人，同时让自家广告系统变得更具吸引力。

Be Evil 的谷歌越来越不值得信任，但从另外一个方面看，或许垄断就是原罪。

哈勃空间望远镜软件出错，进入安全模式

NASA 称，“哈勃太空望远镜因机载软件错误进入安全模式。所有的科学系统看起来都是正常的，哈勃是安全稳定的。”希望能从地面解决软件故障，从而让哈勃望远镜能够在太空正常运行。哈勃已经远远超出了它的计划寿命，其原本设定寿命为 15 年，现在已经运行 30 多年了。

这么远的设备出了问题，真有点鞭长莫及，不知道“重启试试”能不能解决问题？：D

Wave 更名为 MIPS，彻底投奔 RISC-V

2018 年，Wave Computing 收购了 MIPS Technologies，宣布将在 2019 年第一季度发布 core R6 时开源。2019 年初它发起了 MIPS Open Initiative 倡议，但在 2019 年 11 月它终止了这一倡议。2020 年 4 月，Wave 申请破产保护。

2021 年 3 月，Wave 更名为 MIPS，宣布将放弃开发 MIPS 架构，加入 RISC-V 基金会。RISC-V 和 MIPS 都是基于精简指令集（RISC）原则，但今天的 MIPS 公司只是挂了一个名字。

RISC 架构大行其道，这应该不仅仅是 RISC 架构的优势，更多是开源开放的力量。

AMD 考虑推出专用型加密货币挖矿 GPU

今年 2 月，英伟达宣布了专为加密货币挖矿任务而设计的 CMP GPU 。与传统主打显示输出的 GPU 相比，其特点是没有预留任何图形接口。而据报道，AMD 或许也将推出专为加密货币挖矿而设计的 RNDA GPU 。预计它将基于初代 RNDA 架构、拥有 40 组计算单元 / 2560 个流处理器。

看来，挖矿已经是 GPU 厂商的主题之一了，连传统 GPU 厂商都要专门生成挖矿芯片了。

最近，有发现称一些 Ubuntu Snap 应用商店上的应用包含加密货币挖矿程序。Canonical 公司迅速下架了这些违规的应用，但是留下了几个有待回答的问题。

在 Snap 应用商店上发现了加密矿工

5 月 11 号，一位名叫 tarwirdur 的用户在 snapcraft.io repository 开了一个新的工单 ，他提到一个由 Nicolas Tomb 开发，叫做 2048buntu 的 snap 应用包含加密货币矿工。tarwirdur 询问，他怎样才能出于安全的原因而“投诉该应用” 。tarwirdur 后来发表说其它由 Nicolas Tomb 开发的 snap 应用也都包含加密货币矿工。

看起来该 snap 应用使用了 systemd 在系统启动时自动地运行代码，并在用户不知情的情况下在后台运行。

对那些不熟悉相关术语的人来说， 加密货币 cryptocurrency 矿工 miner 是一段使用计算机的主处理器或者图形处理器来“挖掘”数字货币的程序。“挖矿”通常涉及到解决一个数学等式。在这种情况下，如果你在运行 2048buntu 游戏，这个游戏将会额外使用处理器的计算能力去进行加密货币的挖掘。

Snapcraft 团队迅速地下架了所有由该违规者开发的应用来做出回应。他们同时也开展了调查。

隐匿者发声

5 月 13 号，一位同名为 Nicolas Tomb 的 Disqus 用户在 OMGUbuntu 的新闻报道上发表了评论，他在评论中称自己向 snap 应用中添加了加密货币矿工，从而获取收益。他为他的行为道歉，同时承诺将所有挖矿所得的收益送给 Ubuntu 基金会。

我们不能确认这个评论就是由 Nicolas Tomb 发表的，因为这个 Disqus 账户最近才被创建，也只有一条评论与之相关联。现在，我们假设他是。

Canonical 公司发表了声明

5 月 15 号，Canonical 公司在这种情况下发表了一份声明。标题为 “在 Snap 应用商店中的信任与安全”，声明开头重申了当下的情况。他们也补充道重新发布的 snap 应用中已经被删除了加密货币挖矿程序。

Canonical 公司随后尝试调查 Nicolas Tomb 的动机。他们指出，他告诉他们说自己这样做是为了通过应用赚钱（如上所诉），而当面对质疑时就停止了。他们也指出“挖掘加密货币本身并非不合法和不道德的”。然而，他们仍对他没有在 snap 应用描述中披露加密矿工这件事表示了不满意。

随后 Canonical 公司将话题转移到审核软件上。根据这份申明，Snap 应用商店将会采用一种类似 iOS、Android、Windows 的质量控制系统，这个系统将有“自动化的检查点，安装包必须在被接受前通过检查，同时在特殊问题被标记时会进行人工审核”。

然后，Canonical 公司声称“对大规模的软件仓库来说，只接受每个单独文件都被仔细审核过的软件是不可能的”。因此，他们需要信任软件源而不是内容。毕竟，软件源是现在 Ubuntu 软件仓库系统的基础。

Canonical 公司紧接着谈到了 Snap 应用的未来。他们承认现在的系统是不完美的。他们也在不断地进行改善。他们“在开发非常有趣的安全功能，这些功能将会在改善系统安全性同时提升人们在服务器或桌面上进行软件开发的体验”。

其中一个他们正在开发的功能是查看一个软件发布者是否已通过验证。其他的改进包括：“将所有 AppArmor 内核补丁递交到上游”和其它底层修复。

一些关于“Snap 应用商店中的恶意软件”的想法

基于我所了解的所有内容，我产生了一些想法和问题。

这种挖矿软件运行多久了？

首先，这些挖矿软件存在于 Snap 应用商店多久了？因为它们已经被下架了，我们没有这样的数据。我可以通过 Google 快照抓取一些 2048buntu 页面的图片，但这没有提供任何可用的信息。根据该软件运行时间，多少系统安装过，挖掘出了什么加密货币，我们能否知道违规者获取的是一点钱还是一笔钱。一个更长远的问题是：Canonical 公司将来有能力捕捉到这样的违规情况吗？

这真的是一个恶意软件吗？

许多新闻网站将之报道为恶意软件感染。我想我甚至可以看到这个事件被称为 Linux 的第一个恶意软件。我不确定这个术语是否精确。Dictionary.com 这样定义 恶意软件：“意图损害计算机、移动设备、计算机系统或者计算机网络，或者对其运作进行部分控制的软件”。

这个有问题的 snap 应用并没有损害或者控制涉及到的计算机。它同样没有感染其他计算机。它也不能这样做，因为所有的 snap 应用位于沙盒之中。它们最多利用了处理器的计算能力，就是这样。所以，我不会称之为恶意软件。

无孔不入

Nicolas Tomb 使用的一个辩解是在他上传应用的时候 Snap 应用商店没有任何反对加密货币挖矿的规则。（我敢向你打赌他们正在纠正这个错误。）他们之所以没有这样的规则，原因很简单，之前没有人做过这种事。如果 Tomb 想正确地做事，他应该提前询问是否允许这种行为。而事实是他似乎没有指出他知道 Canonical 公司可能会拒绝的事实。至少，Canonical 公司会告诉他将这些写在软件的描述中。

一看就不对劲

如我之前说的，我从 Google 快照获取了一个 2048buntu 的页面截图。仅仅看它就会感觉到一些危险的信号。首先，截图中几乎没有真实的描述。它是这样描述的“类似 2048 的游戏。这个游戏用 ubuntu 主题克隆了流行的游戏 2048。”哇，这将会引来容易上当受骗的人。当我读到类似空洞的描述时，我会多考虑下。

我注意到的另一件事是软件的大小。2048buntu 的 1.0 版本大小将近 140 MB。一个简单的游戏怎么需要这么多的空间？有用 Javascript 写的浏览器版本大概只用了不到它的四分之一。其他 snap 应用商店的 2048 游戏的大小没有一个达到了这个软件的一半。

然后，它有个许可证。这是一个使用了 Ubuntu 主题的流行游戏的克隆。它怎么能被认为是专有软件？我确信，其他合法的开发者会因为该内容而使用了 FOSS （自由开源软件）许可证来上传它。

单是这些因素就使得这个 snap 应用很特殊，应该进行审核。

谁是 Nicolas Tomb？

当第一次了解到这些之后，我决定看看我能否找出造成这些混乱的人。当我搜索 Nicolas Tomb 的时候，我什么都没找到。所有我找到的只是一大堆关于加密货币挖矿 snap 应用的新闻和文章，以及去 tomb of St. Nicolas 旅游的信息。在 Twiter 和 Github 上都没有 Nicolas Tomb 的标志。看起来似乎是为了上传这些 snap 应用才创建的名称。

这同样引出了 Canonical 公司发表的申明中的一点，关于验证发布者。上一次我查看的时候，相当多的 snap 应用不是由应用的维护者发布的。这让我感到担忧。我更乐意相信由 Mozilla 基金会发布的 firefox 的 snap 应用，而不是 Leonard Borsch。如果对应用维护者来说关注应用的 snap 版本太耗费精力，应该有办法让维护者在他们软件的 snap 版本上贴上批准的标签。就像是 Firefox 的 snap 版本由 Fredrick 发布，经 Mozilla 基金会批准。这样才能让用户对下载的内容更放心。

无疑 Snap 应用商店还有改善的空间

在我看来，Snap 应用商店团队应该实现的第一个特性是报告可疑应用的方式。tarwirdur 必须找到该网站的 Github 页面才行。而大多数用户不会想到这一点。如果 Snap 应用商店不能审核每一行代码，那么使用户能够报告问题是退而求其次的办法。即使评分系统也是一个不差的补充。我确信一定有部分人因为 2048buntu 使用了太多系统资源而给它很低的评分。

结论

从我所知道的情况来说，我认为这是某个人创建了一些简单的应用，在每个应用中嵌入了加密货币矿工，之后将这些应用上传到 Snap 应用商店，想着捞一笔钱。一旦他们被抓了，他们就声称这仅仅为了通过应用程序获利。如果真的是这样，他们应该在 snap 应用的描述中提到才对。隐藏加密矿工并不是什么新鲜事。他们通常是一种盗取计算能力的方法。

我希望 Canonical 公司已经具备了解决这个问题的功能，盼望这些功能能很快出来。

你对 Snap 应用商店的“恶意软件风波”有什么看法？你将如何改善这种情况？请在下面的评论中告诉我们。

如果你觉得这篇文章有趣，请花费一点时间将它分享到社交媒体上。

via: https://itsfoss.com/snapstore-cryptocurrency-saga/

作者：John Paul 选题：lujun9972 译者：paperzhang 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出