Während die Energiekosten der Hauptkritikpunkt gegen Bergleute sind der heutigen Kryptowährungen, Ein weiteres Problem ist bei Cloud-Computing-Plattformen aufgetreten in den letzten Monaten, seitdem Einige Miner-Pools missbrauchen kostenlose Kontingente von Cloud-Service-Plattformen zum Mining von Kryptowährungen.
Mehrere Continuous-Integration-Dienste (CI) beschweren sich nun über diese Banden, die zuvor im Zusammenhang mit Angriffen und der Übernahme ungepatchter Server genannt wurden Sie registrieren kostenlose Konten auf ihrer Plattform, bevor sie bis zum Ablauf der Testzeiträume zu neuen kostenlosen Konten wechseln.
Obwohl Kryptowährungen nur in der digitalen Welt existieren, findet hinter den Kulissen ein gigantischer physischer Vorgang namens „Mining“ statt.
Banden agieren, indem sie Konten auf bestimmten Plattformen registrieren. indem Sie sich für ein kostenloses Kontingent anmelden und eine Kryptowährungs-Mining-Anwendung auf der Infrastruktur des kostenlosen Kontingents des Anbieters ausführen. Sobald die Testzeiträume oder Gratisguthaben ihr Limit erreicht haben, registrieren Gruppen ein neues Konto und beginnen mit Schritt eins von vorne, wodurch die Server des Anbieters an ihrer oberen Nutzungsgrenze bleiben und der normale Betrieb verlangsamt wird.
Die Liste der Dienste, die auf diese Weise missbraucht wurden umfasst Dienste wie GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut und Okteto. In den letzten Monaten haben Entwickler ihre eigenen Geschichten über ähnlichen Missbrauch geteilt, den sie auf anderen Plattformen gesehen haben, und einige dieser Unternehmen haben sich gemeldet, um ähnliche Erfahrungen mit Missbrauch zu teilen.
Die meisten von Dieser Missbrauch kommt in Unternehmen vor, die kontinuierliche Integrationsdienste anbieten (CI). Unter kontinuierlicher Integration versteht man die Automatisierung der Integration von Codeänderungen mehrerer Mitwirkender in ein einziges Softwareprojekt. Dies ist eine führende DevOps-Praxis, die es Entwicklern ermöglicht, häufig Codeänderungen in einem zentralen Repository zusammenzuführen, wo dann Builds und Tests ausgeführt werden.
Mithilfe automatisierter Tools wird die Richtigkeit des neuen Codes überprüft vor seiner Integration. Ein System zur Versionskontrolle des Quellcodes ist für den CI-Prozess von entscheidender Bedeutung. Das Versionskontrollsystem wird auch durch andere Prüfungen wie automatisierte Code-Qualitätstests, Tools zur Überprüfung des Syntaxstils usw. ergänzt.
In der Praxis wird Cloud-gehostetes CI dadurch erreicht, dass eine neue virtuelle Maschine erstellt wird, die den Build-, Paket- und Testprozess ausführt und das Ergebnis dann an einen Projektmanager übermittelt.
Kryptowährungs-Mining-Banden erkannten, dass sie diesen Prozess missbrauchen könnten, um ihren eigenen Code hinzuzufügen und diese virtuelle CI-Maschine Kryptowährungs-Mining-Operationen durchführen zu lassen, um vor dem Angriff kleine Gewinne für den Angreifer zu generieren. Die begrenzte Lebensdauer der VM läuft ab und die VM wird vom Cloud-Anbieter heruntergefahren.
Auf diese Weise missbrauchten Kryptowährungs-Mining-Banden die GitHub-Aktionsfunktion, die GitHub-Benutzern eine virtuelle Infrastrukturfunktion bietet, um die Website zu schürfen und Kryptowährungen mit den eigenen Servern von GitHub zu schürfen.
GitHub und GitLab sind nicht die einzigen CI-Anbieter die diesem Missbrauch ausgesetzt waren. Dem Bericht zufolge hatten Microsoft Azure, LayerCI, Sourcehut, CodeShip und viele andere Plattformen mit dieser Aktivität zu kämpfen.
Ein Unternehmen wie GitLab kann es sich aufgrund seiner größeren Größe immer noch leisten, sein CI-Angebot für seine Benutzer kostenlos zu halten, indem es andere Wege findet, um Missbrauch durch Kryptominer zu verhindern. Aber andere kleine IC-Anbieter können das nicht. Letzten Dienstag gaben Sourcehut und TravisCI in ihren Entscheidungen zum Schutz ihrer zahlenden Kunden, die Serviceeinbußen sahen, bekannt, dass sie planen, ihre kostenlosen CI-Stufen aufgrund anhaltenden Missbrauchs nicht mehr anzubieten.
Doch auch wenn die Aufhebung der kostenlosen Kontingent-Angebote für Dienstanbieter eine Möglichkeit darstellt, den beobachteten Missbrauch einzudämmen, ist dies nicht die optimale Lösung für Einzelentwickler, die diese Angebote für ihre Open-Source-Projekte nutzen. Eine alternative Lösung, wie von Berrelleza vorgeschlagen, wäre der Einsatz automatisierter Systeme, die diese Missbräuche erkennen und darauf reagieren.. Die Erstellung solcher Systeme erfordert jedoch Ressourcen, die einige Unternehmen weder bereitstellen noch garantieren können, dass diese Systeme wie erwartet funktionieren.