Les mineurs de crypto profitent désormais des services gratuits de la plate-forme cloud

Alors que le coût de l'énergie est la principale critique contre les mineurs des crypto-monnaies aujourd'hui, un autre problème est survenu dans les plateformes de cloud computing ces derniers mois, depuis certains groupes de mineurs abusent des niveaux gratuits de plates-formes de services cloud pour exploiter des crypto-monnaies.

Précédemment cités dans les attaques et les détournements de serveurs non corrigés, divers services d'intégration continue (CI) se plaignent désormais de ces gangs, qui enregistrer des comptes gratuits sur leur plateforme avant de passer à de nouveaux comptes gratuits dans la limite des périodes d'essai.

Bien que les crypto-monnaies n'existent que dans le monde numérique, une gigantesque opération physique appelée « minage » se déroule en coulisses.

Les gangs opèrent en enregistrant des comptes sur certaines plateformes, Inscription à un niveau gratuit et exécution d'une application d'extraction de crypto-monnaie sur l'infrastructure de niveau gratuit du fournisseur. Une fois que les périodes d'essai ou les crédits gratuits ont atteint leur limite, les groupes enregistrent un nouveau compte et recommencent la première étape, en maintenant les serveurs du fournisseur à leur limite d'utilisation supérieure et en ralentissant les opérations normales.

La liste des services qui ont été abusés de cette manière inclut des services tels que GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut et Okteto. Au cours des derniers mois, les développeurs ont partagé leurs propres histoires d'abus similaires qu'ils ont vus sur d'autres plateformes, et certaines de ces entreprises se sont manifestées pour partager des expériences d'abus similaires.

La plus grande partie de cette utilisation abusive se produit dans les entreprises qui fournissent des services d'intégration continue (CI). L'intégration continue est la pratique consistant à automatiser l'intégration des modifications de code de plusieurs contributeurs dans un seul projet logiciel. Il s'agit d'une pratique DevOps de premier plan, permettant aux développeurs de fusionner fréquemment les modifications de code dans un référentiel central où les builds et les tests sont ensuite exécutés.

Des outils automatisés sont utilisés pour vérifier l'exactitude du nouveau code avant son intégration. Un système de contrôle de version du code source est essentiel au processus CI. Le système de contrôle de version est également complété par d'autres contrôles, tels que des tests de qualité de code automatisés, des outils de vérification de style de syntaxe, etc.

En pratique, la CI hébergée dans le cloud est obtenue en créant une nouvelle machine virtuelle qui exécute le processus de génération, de package et de test, puis relaie le résultat à un chef de projet.

Les gangs de minage de crypto-monnaie se sont rendu compte qu'ils pouvaient abuser de ce processus pour ajouter leur propre code et faire en sorte que cette machine virtuelle CI effectue des opérations de minage de crypto-monnaie afin de générer de petits profits pour l'attaquant avant l'attaque. La durée de vie limitée de la VM expire et la VM est arrêtée par le fournisseur de cloud.

C'est ainsi que les gangs de minage de crypto-monnaie ont abusé de la fonctionnalité GitHub Actions, qui offre une fonctionnalité d'infrastructure virtuelle aux utilisateurs de GitHub, pour exploiter le site et extraire la crypto avec les propres serveurs de GitHub.

GitHub et GitLab ne sont pas les seuls fournisseurs de CI qui ont subi ces abus. Microsoft Azure, LayerCI, Sourcehut, CodeShip et de nombreuses autres plateformes ont eu du mal avec cette activité, selon le rapport.

Une entreprise comme GitLab, en raison de sa plus grande taille, peut toujours se permettre de conserver son offre de CI gratuits pour ses utilisateurs en trouvant d'autres moyens d'empêcher les abus par les mineurs de crypto. Mais d'autres petits fournisseurs de circuits intégrés ne le peuvent pas. Mardi dernier, dans leurs décisions de protéger leurs clients payants qui ont vu leur service se dégrader, Sourcehut et TravisCI ont déclaré qu'ils prévoyaient de cesser d'offrir leurs niveaux de QI gratuits en raison d'abus continus.

Mais bien que la révocation des offres de niveau gratuit pour les fournisseurs de services puisse être un moyen de limiter les abus qu'ils voient, ce n'est pas la solution optimale pour les développeurs isolés utilisant ces offres pour leurs projets open source. Une solution alternative, telle que proposée par Berrelleza, serait de déployer des systèmes automatisés qui détectent et répondent à ces abus.. Cependant, la création de tels systèmes nécessite des ressources que certaines entreprises ne peuvent pas allouer, et ne garantit pas non plus que ces systèmes fonctionnent comme prévu.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.