Vaikka energian hinta on kaivostyöläisten kritiikki ykköseksi kryptovaluutoista tänään, toinen ongelma on noussut pilvipalvelualustoille viime kuukausina jotkut kaivostyöläisten ryhmät käyttävät väärin ilmaista tasoa pilvipalvelualustoista kryptovaluuttojen louhintaan.
Aikaisemmin siteerattujen palvelimien hyökkäyksessä ja kaappauksessa mainitut erilaiset jatkuvan integraation (CI) palvelut valittavat nyt näistä jengistä, jotka rekisteröi ilmaiset tilit alustallaan ennen siirtymistä uusille ilmaisille tileille kokeilujaksojen rajoissa.
Vaikka kryptovaluutta on olemassa vain digitaalisessa maailmassa, kulissien takana tapahtuu jättimäinen fyysinen operaatio nimeltä "kaivos".
Jengit toimivat rekisteröimällä tilejä tietyille alustoille, Rekisteröityminen ilmaiseen tasoon ja salausvaluutan louhintasovelluksen suorittaminen palveluntarjoajan ilmaisella tason infrastruktuurilla. Kun kokeilujaksot tai ilmaiset hyvitykset ovat saavuttaneet rajansa, ryhmät rekisteröivät uuden tilin ja aloittavat vaiheen uudelleen pitämällä palveluntarjoajan palvelimet ylemmässä käyttörajassa ja hidastamalla normaalia toimintaa.
Luettelo palveluista, joita on väärinkäytetty tällä tavalla sisältää palvelut, kuten GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut ja Okteto. Viime kuukausien aikana kehittäjät ovat jakaneet omia tarinoita samanlaisista väärinkäytöksistä, joita he ovat nähneet muilla alustoilla, ja jotkut näistä yrityksistä ovat esittäneet samanlaisia kokemuksia väärinkäytöksistä.
Suurin osa tätä väärinkäyttöä esiintyy yrityksissä, jotka tarjoavat jatkuvaa integraatiopalvelua (CI). Jatkuva integraatio on käytäntö automatisoida useiden avustajien koodimuutosten integrointi yhdeksi ohjelmistoprojektiksi. Tämä on johtava DevOps-käytäntö, jonka avulla kehittäjät voivat yhdistää koodimuutokset usein keskustietovarastoon, jossa sitten suoritetaan koontiversioita ja testejä.
Automaattisia työkaluja käytetään uuden koodin tarkkuuden tarkistamiseen ennen sen integrointia. Lähdekoodiversiojärjestelmä on kriittinen CI-prosessille. Versiohallintajärjestelmää täydennetään myös muilla tarkistuksilla, kuten automaattisilla koodilaadun testeillä, syntaksityylien tarkistustyökaluilla ja muilla.
Käytännössä pilvi-isännöity CI saavutetaan luomalla uusi virtuaalikone, joka suorittaa rakennus-, paketti- ja testausprosessin ja välittää sitten tuloksen projektipäällikölle.
Kryptovaluutan kaivosryhmät tajusivat voivansa väärinkäyttää tätä prosessia lisätäksesi oman koodinsa ja saada tämän CI-virtuaalikoneen suorittamaan kryptovaluutan kaivostoimintoja tuottaakseen pieniä voittoja hyökkääjälle ennen hyökkäystä. Virtuaalikoneen rajoitettu käyttöikä päättyy ja pilvipalveluntarjoaja sammuttaa virtuaalikoneen.
Näin salausvaluutan kaivosryhmät käyttivät väärin GitHub Actions -ominaisuutta, joka tarjoaa virtuaalisen infrastruktuurin ominaisuuden GitHub-käyttäjille, kaivamaan sivuston ja louhimaan salauksen GitHubin omilla palvelimilla.
GitHub ja GitLab eivät ole ainoita CI-palveluntarjoajia jotka ovat kohdanneet tätä väärinkäyttöä. Microsoft Azure, LayerCI, Sourcehut, CodeShip ja monet muut alustat ovat kamppailleet tämän toiminnan kanssa raportin mukaan.
GitLabin kaltaisella yrityksellä on suuremman koonsa vuoksi silti varaa pitää edelleen ilmaisten luottolaitosten tarjonta käyttäjilleen etsimällä muita tapoja estää salauksen kaivostyöläisten väärinkäyttö. Mutta muut pienet IC-palveluntarjoajat eivät voi. Viime tiistaina Sourcehut ja TravisCI sanoivat aikovansa lopettaa ilmaisten älykkyysosamäärien tarjoamisen jatkuvan väärinkäytön vuoksi päätöksessään suojella maksavia asiakkaita, jotka näkivät palvelun heikkenemisen.
Mutta vaikka ilmaisten tarjouskilpailujen peruuttaminen palveluntarjoajille voi olla yksi tapa rajoittaa heidän näkemäänsä väärinkäyttöä, se ei ole optimaalinen ratkaisu yksinäisille kehittäjille, jotka käyttävät näitä tarjouksia avoimen lähdekoodin projekteissa. Vaihtoehtoinen ratkaisu, kuten Berrelleza ehdotti, olisi ottaa käyttöön automaattisia järjestelmiä, jotka havaitsevat ja reagoivat näihin väärinkäytöksiin.. Tällaisten järjestelmien luominen vaatii kuitenkin resursseja, joita jotkut yritykset eivät voi jakaa, eikä se takaa, että nämä järjestelmät toimivat odotetusti.