Сега майсторите на крипто се възползват от безплатните услуги на платформата в облак

Докато цената на енергията е критиката номер едно срещу миньорите на криптовалутите днес, Друг проблем възникна в платформите за изчислителни облаци през последните месеци, от някои групи миньори злоупотребяват с безплатни нива на платформи за облачни услуги за копаене на криптовалути.

По-рано цитирани при атака и отвличане на незаправени сървъри, различни услуги за непрекъсната интеграция (CI) сега се оплакват от тези банди, които регистрирайте безплатни акаунти на тяхната платформа, преди да преминете към нови безплатни акаунти до лимита на пробните периоди.

Въпреки че криптовалутите съществуват само в дигиталния свят, зад кулисите се извършва гигантска физическа операция, наречена „добив“.

Бандите работят чрез регистриране на акаунти на определени платформи, Регистрирайте се за безплатно ниво и стартирайте приложение за копаене на криптовалути в безплатната инфраструктура на доставчика. След като пробните периоди или безплатните кредити достигнат своя лимит, групите регистрират нов акаунт и започват стъпка първа отново, като поддържат сървърите на доставчика на горната граница на използване и забавят нормалните операции.

Списъкът на услугите, които са били злоупотребявани по този начин включва услуги като GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut и Okteto. През последните няколко месеца разработчиците споделиха свои собствени истории за подобни злоупотреби, които са виждали на други платформи, а някои от тези компании излязоха да споделят подобен опит на злоупотреба.

Повечето от тях тази злоупотреба възниква в компании, които предоставят услуги за непрекъсната интеграция (CI). Непрекъснатата интеграция е практиката за автоматизиране на интегрирането на промените в кода от множество участници в един софтуерен проект. Това е водеща практика на DevOps, позволяваща на разработчиците често да обединяват промените в кода в централно хранилище, където след това се изпълняват компилации и тестове.

За проверка на точността на новия код се използват автоматизирани инструменти преди интегрирането му. Системата за контрол на версиите на изходния код е от решаващо значение за процеса на CI. Системата за контрол на версиите се допълва и от други проверки, като автоматизирани тестове за качество на кода, инструменти за проверка на стила на синтаксиса и други.

На практика CI, хостван в облак, се постига чрез създаване на нова виртуална машина, която изпълнява процеса на изграждане, пакетиране и тестване, след което предава резултата на мениджър на проекти.

Бандите за добив на криптовалута осъзнаха, че могат да злоупотребяват с този процес, за да добавят собствен код и тази виртуална машина CI да извършва операции за добив на криптовалута, за да генерира малки печалби за нападателя преди атаката. Ограниченият живот на виртуалната машина изтича и виртуалната машина се изключва от доставчика на облак.

Ето как бандите за копаене на криптовалути злоупотребяват с функцията GitHub Actions, която предлага функция за виртуална инфраструктура на потребителите на GitHub, за да копаят сайта и да копаят крипто със собствените сървъри на GitHub.

GitHub и GitLab не са единствените доставчици на CI които са се сблъсквали с тази злоупотреба. Според доклада Microsoft Azure, LayerCI, Sourcehut, CodeShip и много други платформи са се борили с тази дейност.

Компания като GitLab, поради по-големия си размер, все още може да си позволи да запази предлагането на безплатни CI за своите потребители, като намери други начини за предотвратяване на злоупотреба от майстори на крипто. Но други малки доставчици на IC не могат. Миналия вторник в решенията си да защитят своите клиенти, които плащат, които видяха влошаване на услугата, Sourcehut и TravisCI заявиха, че планират да спрат да предлагат своите безплатни нива на интелигентност поради продължаващи злоупотреби.

Но докато отмяната на безплатни оферти от ниво за доставчиците на услуги може да е начин за ограничаване на злоупотребите, които виждат, това не е оптималното решение за самотни разработчици, които използват тези оферти за своите проекти с отворен код. Алтернативно решение, предложено от Berrelleza, би било внедряването на автоматизирани системи, които откриват и реагират на тези злоупотреби.. Създаването на такива системи обаче изисква ресурси, които някои компании не могат да разпределят, нито гарантира, че тези системи работят както се очаква.


Бъдете първите, които коментират

Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.