Mens omkostningerne ved energi er den største kritik mod minearbejdere af kryptovalutaer i dag, et andet problem er opstået i cloud computing-platforme i de seneste måneder siden nogle puljer af minearbejdere misbruger gratis niveauer af cloud-serviceplatforme til at mine kryptovalutaer.
Tidligere citeret i angrebet og kapringen af ikke-patchede servere, klager adskillige kontinuerlige integrationstjenester (CI) nu over disse bander, som de registrerer gratis konti på deres platform, før de flytter til nye gratis konti op til grænsen for prøveperioder.
Selvom kryptovalutaer kun eksisterer i den digitale verden, foregår en gigantisk fysisk operation kaldet "mining" bag kulisserne.
Bander opererer ved at registrere konti på visse platforme, ved at tilmelde dig en gratis tier og køre en cryptocurrency-mineapplikation på udbyderens gratis tier-infrastruktur. Når prøveperioderne eller gratis kreditter har nået deres grænse, registrerer grupper en ny konto og starter trin et forfra, hvorved udbyderens servere holdes på deres øvre forbrugsgrænse og bremser normal drift.
Listen over tjenester, der er blevet misbrugt på denne måde inkluderer tjenester som GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut og Okteto. I løbet af de sidste par måneder har udviklere delt deres egne historier om lignende misbrug, som de har set på andre platforme, og nogle af disse virksomheder er kommet frem for at dele lignende erfaringer med misbrug.
De fleste af dette misbrug forekommer i virksomheder, der leverer kontinuerlige integrationstjenester (CI). Kontinuerlig integration er praksis med at automatisere integrationen af kodeændringer fra flere bidragydere til et enkelt softwareprojekt. Dette er en førende DevOps-praksis, der giver udviklere mulighed for ofte at flette kodeændringer ind i et centralt lager, hvor builds og test derefter udføres.
Automatiserede værktøjer bruges til at verificere nøjagtigheden af den nye kode før dets integration. Et kildekodeversionskontrolsystem er afgørende for CI-processen. Versionsstyringssystemet er også suppleret med andre kontroller, såsom automatiserede kodekvalitetstests, syntaksstilgennemgangsværktøjer osv.
I praksis opnås cloud-hostet CI ved at skabe en ny virtuel maskine, der udfører bygge-, pakke- og testprocessen og derefter overfører resultatet til en projektleder.
Cryptocurrency-minebander indså, at de kunne misbruge denne proces til at tilføje deres egen kode og få denne virtuelle CI-maskine til at udføre kryptovaluta-mining-operationer for at generere små overskud til angriberen før angrebet. VM'ens begrænsede levetid udløber, og VM'en lukkes ned af cloud-udbyderen.
Dette er, hvordan cryptocurrency-minebander misbrugte GitHub Actions-funktionen, som tilbyder en virtuel infrastrukturfunktion til GitHub-brugere, til at mine webstedet og mine cryptocurrency med GitHubs egne servere.
GitHub og GitLab er ikke de eneste CI-udbydere der har været udsat for dette misbrug. Microsoft Azure, LayerCI, Sourcehut, CodeShip og mange andre platforme har ifølge rapporten kæmpet med denne aktivitet.
En virksomhed som GitLab har på grund af sin større størrelse stadig råd til at holde sit CI-tilbud gratis til sine brugere ved at finde andre måder at forhindre misbrug af kryptominere. Men det kan andre små IC-leverandører ikke. Sidste tirsdag sagde Sourcehut og TravisCI i deres beslutninger om at beskytte deres betalende kunder, der så serviceforringelse, at de planlægger at stoppe med at tilbyde deres gratis CI-niveauer på grund af fortsat misbrug.
Men selvom tilbagekaldelse af de gratis tilbud til tjenesteudbydere kan være en måde at begrænse det misbrug, de ser, er det ikke den optimale løsning for ensomme udviklere, der bruger disse tilbud til deres open source-projekter. En alternativ løsning, som foreslået af Berrelleza, ville være at implementere automatiserede systemer, der opdager og reagerer på disse misbrug.. Men at skabe sådanne systemer kræver ressourcer, som nogle virksomheder ikke kan allokere, og heller ikke garantere, at disse systemer fungerer som forventet.