Si bé el cost de l'energia és la crítica número u contra els miners de moneda digital en l'actualitat, ha sorgit un altre problema a les plataformes de computació en el núvol en els últims mesos, ja que alguns grups de miners estan abusant de nivells gratuïts de plataformes de serveis en el núvol per extreure moneda digital.
Anteriorment citats en l'atac i segrest de servidors no parcheados, diversos serveis d'integració contínua (CI) ara es queixen d'aquestes bandes, que registren comptes gratuïts en la seva plataforma abans de passar a noves comptes gratuïts fins al límit de períodes de prova.
Tot i que les moneda digital existeixen només en el món digital, una gegantesca operació física anomenada «mineria» es porta a terme entre bastidors.
Les colles operen registrant comptes en certes plataformes, registrant-se en un nivell gratuït i executant una aplicació de mineria de moneda digital en la infraestructura de nivell gratuït de l'proveïdor. Una vegada que els períodes de prova o els crèdits gratuïts han arribat al seu límit, els grups registren un nou compte i comencen el pas un de nou, mantenint els servidors de l'proveïdor en el seu límit d'ús superior i alentint les operacions normals.
La llista de serveis que han abusat d'aquesta manera inclou serveis com GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut i Okteto. Durant els últims mesos, els desenvolupadors han compartit les seves pròpies històries d'abusos similars que han vist en altres plataformes, i algunes d'aquestes empreses s'han presentat per compartir experiències similars d'abusos.
La major part de aquest ús indegut es produeix en empreses que brinden serveis d'integració contínua (CI). La integració contínua és la pràctica d'automatitzar la integració de canvis de codi de múltiples contribuents en un sol projecte de programari. Aquesta és una pràctica líder d'devops, que permet als desenvolupadors fusionar amb freqüència els canvis de codi en un repositori central on després s'executen les compilacions i les proves.
S'utilitzen eines automatitzades per verificar la precisió de el nou codi abans de la seva integració. Un sistema de control de versions de codi font és fonamental per al procés de CI. El sistema de control de versions també es complementa amb altres comprovacions, com a proves automatitzades de qualitat de el codi, eines de revisió d'estil de sintaxi, etc.
A la pràctica, la CI allotjada en el núvol s'aconsegueix mitjançant la creació d'una nova màquina virtual que realitza el procés de construcció, empaquetat i prova, després transmet el resultat a l'administrador d'un projecte.
Les bandes de mineria de moneda digital es van adonar que podien abusar d'aquest procés per afegir el seu propi codi i fer que aquesta màquina virtual de CI realitzés operacions de mineria de moneda digital per generar petits guanys per a l'atacant abans de l'atac. La vida útil limitada de la VM expira i la VM és apagada pel proveïdor del núvol.
Així és com les bandes de mineria de moneda digital van abusar de la funció Accions de GitHub, que ofereix una funció d'infraestructura virtual als usuaris de GitHub, per minar el lloc i minar moneda digital amb els propis servidors de GitHub.
GitHub i GitLab no són els únics proveïdors de CI que s'han enfrontat a aquest abús. Microsoft Azure, LayerCI, Sourcehut, CodeShip i moltes altres plataformes han lluitat amb aquesta activitat, segons l'informe.
Una empresa com GitLab, per la seva mida més gran, encara es pot permetre mantenir la seva oferta de CI gratuïta per als seus usuaris a l'trobar altres formes de prevenir l'ús indegut per part dels criptomineros. Però altres proveïdors petits d'IC no poden. Dimarts passat, en les seves decisions de protegir els seus clients de pagament que van veure una degradació en el servei, Sourcehut i TravisCI van dir que planegen deixar d'oferir els seus nivells de CI gratuïts a causa de l'abús continu.
Però encara que revocar les ofertes de nivell gratuït per als proveïdors de serveis pot ser una forma de limitar l'abús que veuen, no és la solució òptima per als desenvolupadors solitaris que utilitzen aquestes ofertes per als seus projectes de codi obert. Una solució alternativa, com proposa Berrelleza, seria desplegar sistemes automatitzats que detectin i responguin a aquests abusos. No obstant això, la creació d'aquests sistemes requereix recursos que algunes empreses no poden assignar, ni garanteix que aquests sistemes funcionin com s'espera.