Penambang Crypto kini memanfaatkan perkhidmatan platform awan percuma

Walaupun kos tenaga adalah kritikan nombor satu terhadap pelombong cryptocurrency hari ini, Masalah lain telah timbul dalam platform pengkomputeran awan dalam beberapa bulan kebelakangan ini, sejak beberapa kumpulan pelombong menyalahgunakan tahap percuma platform perkhidmatan awan untuk menambang cryptocurrency.

Sebelumnya disebut dalam menyerang dan merampas pelayan yang tidak ditambal, pelbagai perkhidmatan Continuous Integration (CI) kini mengeluh mengenai geng-geng ini, yang daftar akaun percuma di platform mereka sebelum berpindah ke akaun percuma baru sehingga had tempoh percubaan.

Walaupun cryptocurrency hanya wujud di dunia digital, operasi fizikal raksasa yang disebut "perlombongan" berlaku di belakang tabir.

Geng beroperasi dengan mendaftarkan akaun di platform tertentu, Mendaftar untuk peringkat percuma dan menjalankan aplikasi perlombongan cryptocurrency pada infrastruktur peringkat percuma penyedia. Setelah tempoh percubaan atau kredit percuma mencapai hadnya, kumpulan mendaftarkan akaun baru dan memulakan langkah satu lagi, menjaga pelayan penyedia pada batas penggunaan atas dan memperlahankan operasi normal.

Senarai perkhidmatan yang telah disalahgunakan dengan cara ini merangkumi perkhidmatan seperti GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut dan Okteto. Sejak beberapa bulan kebelakangan ini, pembangun telah berkongsi kisah mereka sendiri mengenai penyalahgunaan serupa yang mereka lihat di platform lain, dan beberapa syarikat ini tampil untuk berkongsi pengalaman penyalahgunaan yang serupa.

Kebanyakan penyalahgunaan ini berlaku di syarikat yang menyediakan perkhidmatan integrasi berterusan (CI). Integrasi berterusan adalah amalan mengautomasikan integrasi perubahan kod dari pelbagai penyumbang ke dalam satu projek perisian. Ini adalah amalan DevOps yang terkemuka, yang membolehkan pembangun menggabungkan penggabungan kod ke dalam repositori pusat di mana binaan dan ujian kemudian dijalankan.

Alat automatik digunakan untuk mengesahkan ketepatan kod baru sebelum penyatuannya. Sistem kawalan versi kod sumber sangat penting untuk proses CI. Sistem kawalan versi juga dilengkapi dengan pemeriksaan lain, seperti ujian kualiti kod automatik, alat pemeriksaan gaya sintaks, dan banyak lagi.

Dalam praktiknya, CI yang dihoskan awan dicapai dengan membuat mesin maya baru yang melakukan proses pembuatan, pakej, dan ujian, kemudian menyampaikan hasilnya kepada pengurus projek.

Geng perlombongan cryptocurrency menyedari bahawa mereka boleh menyalahgunakan proses ini untuk menambahkan kod mereka sendiri dan meminta mesin maya CI ini melakukan operasi perlombongan cryptocurrency untuk menjana keuntungan kecil bagi penyerang sebelum serangan. Jangka hayat VM terhad dan VM ditutup oleh penyedia awan.

Ini adalah bagaimana geng perlombongan cryptocurrency menyalahgunakan ciri Tindakan GitHub, yang menawarkan ciri infrastruktur maya kepada pengguna GitHub, untuk melombong laman web ini dan melombong crypto dengan pelayan GitHub sendiri.

GitHub dan GitLab bukan satu-satunya penyedia CI yang telah menghadapi penderaan ini. Microsoft Azure, LayerCI, Sourcehut, CodeShip, dan banyak platform lain telah berjuang dengan aktiviti ini, menurut laporan itu.

Syarikat seperti GitLab, kerana saiznya yang lebih besar, masih mampu mengekalkan penawaran CI percuma untuk penggunanya dengan mencari cara lain untuk mencegah penyalahgunaan oleh penambang crypto. Tetapi penyedia IC kecil yang lain tidak dapat. Selasa lalu, dalam keputusan mereka untuk melindungi pelanggan yang membayar mereka yang melihat kemerosotan perkhidmatan, Sourcehut dan TravisCI mengatakan mereka merancang untuk berhenti menawarkan tahap IQ percuma mereka kerana penyalahgunaan yang berterusan.

Tetapi sementara mencabut tawaran peringkat percuma untuk penyedia perkhidmatan mungkin merupakan cara untuk membatasi penyalahgunaan yang mereka lihat, itu bukan penyelesaian optimum untuk pemaju tunggal yang menggunakan tawaran ini untuk projek sumber terbuka mereka. Penyelesaian alternatif, seperti yang diusulkan oleh Berrelleza, adalah menggunakan sistem automatik yang mengesan dan menanggapi penyalahgunaan ini.. Namun, membuat sistem seperti itu memerlukan sumber daya yang tidak dapat diperuntukkan oleh beberapa syarikat, dan juga tidak menjamin sistem ini berfungsi seperti yang diharapkan.


Menjadi yang pertama untuk komen

Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.