Mentre il costo dell'energia è la critica numero uno contro i minatori delle criptovalute oggi, Un altro problema è sorto nelle piattaforme di cloud computing negli ultimi mesi, poiché alcuni gruppi di minatori stanno abusando dei livelli gratuiti di piattaforme di servizi cloud per estrarre criptovalute.
Citati in precedenza nell'attacco e nel dirottamento di server privi di patch, vari servizi di integrazione continua (CI) si stanno ora lamentando di queste bande, che registra account gratuiti sulla loro piattaforma prima di passare a nuovi account gratuiti fino al limite dei periodi di prova.
Sebbene le criptovalute esistano solo nel mondo digitale, dietro le quinte avviene una gigantesca operazione fisica chiamata "mining".
Le gang operano registrando account su determinate piattaforme, Iscriversi a un livello gratuito ed eseguire un'applicazione di mining di criptovaluta sull'infrastruttura di livello gratuito del provider. Una volta che i periodi di prova oi crediti gratuiti hanno raggiunto il limite, i gruppi registrano un nuovo account e ricominciano il primo passaggio, mantenendo i server del provider al limite massimo di utilizzo e rallentando le normali operazioni.
L'elenco dei servizi che sono stati abusati in questo modo include servizi come GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut e Okteto. Negli ultimi mesi, gli sviluppatori hanno condiviso le proprie storie di abusi simili che hanno visto su altre piattaforme e alcune di queste aziende si sono fatte avanti per condividere esperienze simili di abuso.
La maggior parte di questo uso improprio si verifica nelle aziende che forniscono servizi di integrazione continua (CI). L'integrazione continua è la pratica di automatizzare l'integrazione delle modifiche al codice da più contributori in un unico progetto software. Questa è una pratica leader di DevOps, che consente agli sviluppatori di unire frequentemente le modifiche al codice in un repository centrale in cui vengono quindi eseguiti build e test.
Vengono utilizzati strumenti automatizzati per verificare l'accuratezza del nuovo codice prima della sua integrazione. Un sistema di controllo della versione del codice sorgente è fondamentale per il processo CI. Il sistema di controllo della versione è inoltre integrato da altri controlli, come test di qualità del codice automatizzati, strumenti di controllo dello stile della sintassi e altro ancora.
In pratica, la CI ospitata nel cloud si ottiene creando una nuova macchina virtuale che esegue il processo di compilazione, pacchetto e test, quindi inoltra il risultato a un project manager.
I gruppi di mining di criptovaluta si sono resi conto che potevano abusare di questo processo per aggiungere il proprio codice e fare in modo che questa macchina virtuale CI eseguisse operazioni di mining di criptovaluta per generare piccoli profitti per l'attaccante prima dell'attacco. La durata limitata della VM scade e la VM viene spenta dal provider cloud.
È così che le bande di mining di criptovaluta hanno abusato della funzione GitHub Actions, che offre una funzionalità di infrastruttura virtuale agli utenti di GitHub, per minare il sito e minare la crittografia con i server di GitHub.
GitHub e GitLab non sono gli unici fornitori di CI che hanno subito questo abuso. Secondo il rapporto, Microsoft Azure, LayerCI, Sourcehut, CodeShip e molte altre piattaforme hanno avuto difficoltà con questa attività.
Un'azienda come GitLab, a causa delle sue maggiori dimensioni, può ancora permettersi di mantenere la sua offerta di CI gratuiti per i suoi utenti trovando altri modi per prevenire l'uso improprio da parte dei minatori di criptovalute. Ma altri piccoli fornitori di circuiti integrati non possono. Martedì scorso, nelle loro decisioni di proteggere i loro clienti paganti che hanno visto il degrado del servizio, Sourcehut e TravisCI hanno affermato che intendono smettere di offrire i loro livelli di QI gratuiti a causa di abusi in corso.
Ma mentre la revoca delle offerte del livello gratuito per i fornitori di servizi può essere un modo per limitare l'abuso che vedono, non è la soluzione ottimale per gli sviluppatori solitari che utilizzano queste offerte per i loro progetti open source. Una soluzione alternativa, proposta da Berrelleza, sarebbe quella di implementare sistemi automatizzati che rilevino e rispondano a questi abusi.. Tuttavia, la creazione di tali sistemi richiede risorse che alcune aziende non possono allocare, né garantisce che questi sistemi funzionino come previsto.