Si bien el costo de la energía es la crítica número uno contra los mineros de criptomonedas en la actualidad, ha surgido otro problema en las plataformas de computación en la nube en los últimos meses, ya que algunos grupos de mineros están abusando de niveles gratuitos de plataformas de servicios en la nube para extraer criptomonedas.
Anteriormente citados en el ataque y secuestro de servidores no parcheados, varios servicios de integración continua (CI) ahora se quejan de estas bandas, que registran cuentas gratuitas en su plataforma antes de pasar a nuevas cuentas gratuitas hasta el límite de períodos de prueba.
Aunque las criptomonedas existen solo en el mundo digital, una gigantesca operación física llamada «minería» se lleva a cabo entre bastidores.
Las pandillas operan registrando cuentas en ciertas plataformas, registrándose en un nivel gratuito y ejecutando una aplicación de minería de criptomonedas en la infraestructura de nivel gratuito del proveedor. Una vez que los períodos de prueba o los créditos gratuitos han alcanzado su límite, los grupos registran una nueva cuenta y comienzan el paso uno nuevamente, manteniendo los servidores del proveedor en su límite de uso superior y ralentizando las operaciones normales.
La lista de servicios que se han abusado de esta manera incluye servicios como GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut y Okteto. Durante los últimos meses, los desarrolladores han compartido sus propias historias de abusos similares que han visto en otras plataformas, y algunas de estas empresas se han presentado para compartir experiencias similares de abusos.
La mayor parte de este uso indebido se produce en empresas que brindan servicios de integración continua (CI). La integración continua es la práctica de automatizar la integración de cambios de código de múltiples contribuyentes en un solo proyecto de software. Esta es una práctica líder de DevOps, que permite a los desarrolladores fusionar con frecuencia los cambios de código en un repositorio central donde luego se ejecutan las compilaciones y las pruebas.
Se utilizan herramientas automatizadas para verificar la precisión del nuevo código antes de su integración. Un sistema de control de versiones del código fuente es fundamental para el proceso de CI. El sistema de control de versiones también se complementa con otras comprobaciones, como pruebas automatizadas de calidad del código, herramientas de revisión de estilo de sintaxis, etc.
En la práctica, la CI alojada en la nube se logra mediante la creación de una nueva máquina virtual que realiza el proceso de construcción, empaquetado y prueba, luego transmite el resultado al administrador de un proyecto.
Las bandas de minería de criptomonedas se dieron cuenta de que podían abusar de este proceso para agregar su propio código y hacer que esta máquina virtual de CI realizara operaciones de minería de criptomonedas para generar pequeñas ganancias para el atacante antes del ataque. La vida útil limitada de la VM expira y la VM es apagada por el proveedor de la nube.
Así es como las bandas de minería de criptomonedas abusaron de la función Acciones de GitHub , que ofrece una función de infraestructura virtual a los usuarios de GitHub, para minar el sitio y minar criptomonedas con los propios servidores de GitHub.
GitHub y GitLab no son los únicos proveedores de CI que se han enfrentado a este abuso. Microsoft Azure, LayerCI, Sourcehut, CodeShip y muchas otras plataformas han luchado con esta actividad, según el informe.
Una empresa como GitLab, debido a su tamaño más grande, aún puede permitirse mantener su oferta de CI gratuita para sus usuarios al encontrar otras formas de prevenir el uso indebido por parte de los criptomineros. Pero otros proveedores pequeños de IC no pueden. El martes pasado, en sus decisiones de proteger a sus clientes de pago que vieron una degradación en el servicio, Sourcehut y TravisCI dijeron que planean dejar de ofrecer sus niveles de CI gratuitos debido al abuso continuo.
Pero aunque revocar las ofertas de nivel gratuito para los proveedores de servicios puede ser una forma de limitar el abuso que ven, no es la solución óptima para los desarrolladores solitarios que utilizan estas ofertas para sus proyectos de código abierto. Una solución alternativa, como propone Berrelleza, sería desplegar sistemas automatizados que detecten y respondan a estos abusos. Sin embargo, la creación de tales sistemas requiere recursos que algunas empresas no pueden asignar, ni garantiza que estos sistemas funcionen como se espera.