Os mineiros de criptografía agora aproveitan os servizos de plataforma na nube gratuítos

Aínda que o custo da enerxía é a crítica número un contra os mineiros de criptoconcias hoxe, xurdiu outro problema nas plataformas de computación na nube nos últimos meses, dende entón algúns grupos de mineiros abusan dos niveis libres de plataformas de servizos na nube para minar cripto-moedas.

Anteriormente citados no ataque e secuestro de servidores sen parches, varios servizos de integración continua (CI) agora están queixándose destas bandas, que rexistra contas gratuítas na súa plataforma antes de pasar a novas contas gratuítas ata o límite dos períodos de proba.

Aínda que as criptoconcias só existen no mundo dixital, unha xigantesca operación física chamada "minería" ten lugar entre bastidores.

As bandas operan rexistrando contas en certas plataformas, Rexistrarse para obter un nivel gratuíto e executar unha aplicación de minería de criptocurrency na infraestrutura de nivel libre do provedor. Unha vez que os períodos de proba ou créditos gratuítos alcanzaron o seu límite, os grupos rexistran unha nova conta e comezan de novo o primeiro paso, mantendo os servidores do provedor no límite superior de uso e ralentizando as operacións normais.

A lista de servizos que foron abusados ​​deste xeito inclúe servizos como GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut e Okteto. Durante os últimos meses, os desenvolvedores compartiron as súas propias historias de abuso similar que viron noutras plataformas e algunhas destas empresas presentáronse para compartir experiencias similares de abuso.

A maior parte de este uso indebido prodúcese en empresas que prestan servizos de integración continua (CI). A integración continua é a práctica de automatizar a integración de cambios de código de varios colaboradores nun único proxecto de software. Esta é unha práctica líder de DevOps, que permite aos desenvolvedores combinar frecuentemente os cambios de código nun repositorio central onde se executan compilacións e probas.

Utilízanse ferramentas automatizadas para verificar a exactitude do novo código antes da súa integración. Un sistema de control de versións de código fonte é fundamental para o proceso de CI. O sistema de control de versións tamén se complementa con outras comprobacións, como probas automatizadas de calidade de código, ferramentas de verificación de estilo de sintaxe e moito máis.

Na práctica, o CI aloxado na nube conséguese creando unha nova máquina virtual que realiza o proceso de compilación, paquete e proba e, a continuación, transmite o resultado a un xestor de proxectos.

As bandas de minería de moedas criptográficas déronse conta de que poderían abusar deste proceso para engadir o seu propio código e que esta máquina virtual CI realice operacións de minería de moedas criptográficas para xerar pequenos beneficios para o atacante antes do ataque. A vida útil limitada da máquina virtual caduca e o provedor de nube pecha a máquina virtual.

Así é como as bandas mineiras de criptocurrency abusaron da función GitHub Actions, que ofrece unha característica de infraestrutura virtual aos usuarios de GitHub, para minar o sitio e minar a criptografía cos servidores propios de GitHub.

GitHub e GitLab non son os únicos provedores de CI que se enfrontaron a este abuso. Microsoft Azure, LayerCI, Sourcehut, CodeShip e moitas outras plataformas loitaron con esta actividade, segundo o informe.

Unha empresa como GitLab, debido ao seu maior tamaño, aínda pode permitirse manter a súa oferta de IC gratuítos para os seus usuarios atopando outras formas de evitar o mal uso por parte dos mineiros de criptografía. Pero outros pequenos provedores de IC non poden. O pasado martes, nas súas decisións de protexer aos seus clientes pagadores que viron a degradación do servizo, Sourcehut e TravisCI dixeron que planean deixar de ofrecer os seus niveles de coeficiente intelectual gratuítos debido a un abuso continuo.

Pero aínda que revocar ofertas de nivel gratuíto para os fornecedores de servizos pode ser un xeito de limitar o abuso que ven, non é a solución óptima para que os desenvolvedores solitarios usen estas ofertas para os seus proxectos de código aberto. Unha solución alternativa, como propuxo Berrelleza, sería o despregamento de sistemas automatizados que detecten e respondan a estes abusos.. Non obstante, a creación destes sistemas require recursos que algunhas empresas non poden asignar, nin garante que estes sistemas funcionen como se esperaba.


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.