Ενώ το κόστος της ενέργειας είναι η νούμερο ένα κριτική εναντίον των ανθρακωρύχων των κρυπτονομισμάτων σήμερα, Ένα άλλο πρόβλημα προέκυψε στις πλατφόρμες υπολογιστικού νέφους τους τελευταίους μήνες, από τότε ορισμένες ομάδες ανθρακωρύχων κάνουν κατάχρηση δωρεάν επιπέδων πλατφορμών υπηρεσιών cloud για να εξορύξετε κρυπτονομίσματα.
Στο παρελθόν που αναφέρεται στην επίθεση και την αεροπειρατεία μη αντιστοιχισμένων διακομιστών, διάφορες υπηρεσίες συνεχούς ενοποίησης (CI) διαμαρτύρονται τώρα για αυτές τις συμμορίες, οι οποίες εγγραφείτε δωρεάν λογαριασμούς στην πλατφόρμα τους προτού μεταβείτε σε νέους δωρεάν λογαριασμούς έως το όριο των δοκιμαστικών περιόδων.
Αν και τα κρυπτονομίσματα υπάρχουν μόνο στον ψηφιακό κόσμο, μια τεράστια φυσική λειτουργία που ονομάζεται "εξόρυξη" πραγματοποιείται πίσω από τα παρασκήνια.
Οι συμμορίες λειτουργούν καταγράφοντας λογαριασμούς σε συγκεκριμένες πλατφόρμες, Εγγραφή για δωρεάν επίπεδο και εκτέλεση εφαρμογής εξόρυξης κρυπτονομισμάτων στην υποδομή δωρεάν επιπέδου του παρόχου. Μόλις οι δοκιμαστικές περίοδοι ή οι δωρεάν πιστώσεις έχουν φτάσει στο όριό τους, οι ομάδες εγγράφουν έναν νέο λογαριασμό και ξεκινούν ένα βήμα ξανά, διατηρώντας τους διακομιστές του παρόχου στο ανώτερο όριο χρήσης τους και επιβραδύνοντας τις κανονικές λειτουργίες.
Ο κατάλογος των υπηρεσιών που έχουν καταχραστεί με αυτόν τον τρόπο περιλαμβάνει υπηρεσίες όπως GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut και Okteto. Τους τελευταίους μήνες, οι προγραμματιστές έχουν μοιραστεί τις δικές τους ιστορίες για παρόμοια κακοποίηση που έχουν δει σε άλλες πλατφόρμες και ορισμένες από αυτές τις εταιρείες έχουν παρουσιάσει παρόμοιες εμπειρίες κατάχρησης.
Τα περισσότερα από αυτά Αυτή η κατάχρηση εμφανίζεται σε εταιρείες που παρέχουν υπηρεσίες συνεχούς ενοποίησης (CI). Η συνεχής ενοποίηση είναι η πρακτική της αυτοματοποίησης της ενσωμάτωσης αλλαγών κώδικα από πολλούς συνεισφέροντες σε ένα μεμονωμένο έργο λογισμικού. Αυτή είναι μια κορυφαία πρακτική DevOps, επιτρέποντας στους προγραμματιστές να συγχωνεύουν συχνά αλλαγές κώδικα σε ένα κεντρικό αποθετήριο όπου εκτελούνται εκδόσεις και δοκιμές.
Χρησιμοποιούνται αυτοματοποιημένα εργαλεία για την επαλήθευση της ακρίβειας του νέου κώδικα πριν από την ολοκλήρωσή του. Ένα σύστημα ελέγχου έκδοσης πηγαίου κώδικα είναι κρίσιμο για τη διαδικασία CI. Το σύστημα ελέγχου έκδοσης συμπληρώνεται επίσης από άλλους ελέγχους, όπως αυτοματοποιημένες δοκιμές ποιότητας κώδικα, εργαλεία ελέγχου στυλ σύνταξης και άλλα.
Στην πράξη, το CI που φιλοξενείται στο cloud επιτυγχάνεται με τη δημιουργία μιας νέας εικονικής μηχανής που εκτελεί τη διαδικασία κατασκευής, πακέτου και δοκιμής και στη συνέχεια μεταδίδει το αποτέλεσμα σε έναν διαχειριστή έργου.
Οι συμμορίες εξόρυξης κρυπτονομισμάτων συνειδητοποίησαν ότι θα μπορούσαν να κάνουν κατάχρηση αυτής της διαδικασίας για να προσθέσουν τον δικό τους κώδικα και να κάνουν αυτή την εικονική μηχανή CI να εκτελεί εργασίες εξόρυξης κρυπτονομισμάτων για να δημιουργήσει μικρά κέρδη για τον εισβολέα πριν από την επίθεση. Η περιορισμένη διάρκεια ζωής του VM λήγει και η VM τερματίζεται από τον πάροχο cloud.
Έτσι οι συμμορίες εξόρυξης κρυπτονομισμάτων κακοποίησαν τη λειτουργία GitHub Actions, η οποία προσφέρει μια δυνατότητα εικονικής υποδομής στους χρήστες του GitHub, για να εξορύξει τον ιστότοπο και να εξορύξει κρυπτογράφηση με τους δικούς της διακομιστές του GitHub.
Το GitHub και το GitLab δεν είναι οι μόνοι πάροχοι CI που έχουν αντιμετωπίσει αυτήν την κακοποίηση. Τα Microsoft Azure, LayerCI, Sourcehut, CodeShip και πολλές άλλες πλατφόρμες έχουν αγωνιστεί με αυτήν τη δραστηριότητα, σύμφωνα με την έκθεση.
Μια εταιρεία όπως η GitLab, λόγω του μεγαλύτερου μεγέθους της, μπορεί να διατηρήσει την προσφορά της δωρεάν CI για τους χρήστες της, βρίσκοντας άλλους τρόπους για την αποτροπή της κατάχρησης από τους κρυπτογράφους. Αλλά άλλοι μικροί πάροχοι IC δεν μπορούν. Την περασμένη Τρίτη, στις αποφάσεις τους για την προστασία των πελατών που πληρώνουν που είδαν την υποβάθμιση της υπηρεσίας, οι Sourcehut και TravisCI δήλωσαν ότι σκοπεύουν να σταματήσουν να προσφέρουν τα δωρεάν επίπεδα IQ λόγω της συνεχιζόμενης κατάχρησης.
Όμως, ενώ η ανάκληση δωρεάν επιπέδων προσφοράς για τους παρόχους υπηρεσιών μπορεί να είναι ένας τρόπος για να περιοριστεί η κατάχρηση που βλέπουν, δεν είναι η βέλτιστη λύση για τους μεμονωμένους προγραμματιστές που χρησιμοποιούν αυτές τις προσφορές για τα έργα ανοιχτού κώδικα. Μια εναλλακτική λύση, όπως προτείνεται από τον Berrelleza, θα ήταν η ανάπτυξη αυτοματοποιημένων συστημάτων που εντοπίζουν και ανταποκρίνονται σε αυτές τις καταχρήσεις.. Ωστόσο, η δημιουργία τέτοιων συστημάτων απαιτεί πόρους που ορισμένες εταιρείες δεν μπορούν να διαθέσουν, ούτε εγγυάται ότι αυτά τα συστήματα λειτουργούν όπως αναμενόταν.