Sementara biaya energi adalah kritik nomor satu terhadap penambang cryptocurrency hari ini, masalah lain telah muncul di platform komputasi awan dalam beberapa bulan terakhir, sejak beberapa kelompok penambang menyalahgunakan level gratis platform layanan cloud untuk menambang cryptocurrency.
Sebelumnya dikutip dalam menyerang dan membajak server yang belum ditambal, berbagai layanan Continuous Integration (CI) sekarang mengeluh tentang geng ini, yang daftarkan akun gratis di platform mereka sebelum pindah ke akun gratis baru hingga batas masa percobaan
Meskipun cryptocurrency hanya ada di dunia digital, operasi fisik raksasa yang disebut "penambangan" terjadi di belakang layar.
Geng beroperasi dengan mendaftarkan akun pada platform tertentu, Mendaftar untuk tingkat gratis dan menjalankan aplikasi penambangan cryptocurrency pada infrastruktur tingkat gratis penyedia. Setelah periode percobaan atau kredit gratis mencapai batasnya, grup mendaftarkan akun baru dan memulai langkah pertama lagi, menjaga server penyedia pada batas penggunaan tertinggi dan memperlambat operasi normal.
Daftar layanan yang telah disalahgunakan dengan cara ini termasuk layanan seperti GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut dan Okteto. Selama beberapa bulan terakhir, pengembang telah membagikan kisah mereka sendiri tentang penyalahgunaan serupa yang telah mereka lihat di platform lain, dan beberapa dari perusahaan ini telah maju untuk berbagi pengalaman penyalahgunaan yang serupa.
Sebagian besar penyalahgunaan ini terjadi di perusahaan yang menyediakan layanan integrasi berkelanjutan (CI). Integrasi berkelanjutan adalah praktik mengotomatiskan integrasi perubahan kode dari banyak kontributor ke dalam satu proyek perangkat lunak. Ini adalah praktik DevOps terkemuka, yang memungkinkan pengembang untuk sering menggabungkan perubahan kode ke dalam repositori pusat tempat pembangunan dan pengujian kemudian dijalankan.
Alat otomatis digunakan untuk memverifikasi keakuratan kode baru sebelum integrasinya. Sistem kontrol versi kode sumber sangat penting untuk proses CI. Sistem kontrol versi juga dilengkapi dengan pemeriksaan lain, seperti pengujian kualitas kode otomatis, alat pemeriksaan gaya sintaks, dan banyak lagi.
Dalam praktiknya, CI yang dihosting di cloud dicapai dengan membuat mesin virtual baru yang melakukan proses pembuatan, pengemasan, dan pengujian, lalu menyampaikan hasilnya ke manajer proyek.
Geng penambangan cryptocurrency menyadari bahwa mereka dapat menyalahgunakan proses ini untuk menambahkan kode mereka sendiri dan membuat mesin virtual CI ini melakukan operasi penambangan cryptocurrency untuk menghasilkan keuntungan kecil bagi penyerang sebelum serangan. Masa pakai VM yang terbatas akan berakhir dan VM dimatikan oleh penyedia cloud.
Beginilah cara geng penambangan cryptocurrency menyalahgunakan fitur Actions GitHub, yang menawarkan fitur infrastruktur virtual kepada pengguna GitHub, untuk menambang situs dan menambang crypto dengan server GitHub sendiri.
GitHub dan GitLab bukan satu-satunya penyedia CI yang telah menghadapi pelecehan ini. Microsoft Azure, LayerCI, Sourcehut, CodeShip, dan banyak platform lain telah berjuang dengan aktivitas ini, menurut laporan itu.
Perusahaan seperti GitLab, karena ukurannya yang lebih besar, masih dapat mempertahankan penawaran CI gratisnya untuk penggunanya dengan menemukan cara lain untuk mencegah penyalahgunaan oleh penambang kripto. Tetapi penyedia IC kecil lainnya tidak bisa. Selasa lalu, dalam keputusan mereka untuk melindungi pelanggan yang membayar mereka yang melihat penurunan layanan, Sourcehut dan TravisCI mengatakan mereka berencana untuk berhenti menawarkan tingkat IQ gratis mereka karena penyalahgunaan yang sedang berlangsung.
Tetapi sementara mencabut penawaran tingkat gratis untuk penyedia layanan mungkin merupakan salah satu cara untuk membatasi penyalahgunaan yang mereka lihat, itu bukan solusi optimal bagi pengembang tunggal yang menggunakan penawaran ini untuk proyek sumber terbuka mereka. Solusi alternatif, seperti yang diusulkan oleh Berrelleza, adalah dengan menerapkan sistem otomatis yang mendeteksi dan menanggapi pelanggaran ini.. Namun, membuat sistem seperti itu memerlukan sumber daya yang tidak dapat dialokasikan oleh beberapa perusahaan, juga tidak menjamin bahwa sistem ini berfungsi seperti yang diharapkan.