Terwijl de kosten van energie de grootste kritiek zijn op mijnwerkers van cryptocurrencies vandaag, er is een ander probleem ontstaan in cloud computing-platforms in de afgelopen maanden, sinds sommige groepen mijnwerkers misbruiken gratis niveaus van cloudserviceplatforms om cryptocurrencies te minen.
Eerder aangehaald bij het aanvallen en kapen van niet-gepatchte servers, klagen verschillende Continuous Integration (CI)-services nu over deze bendes, die registreer gratis accounts op hun platform voordat je overstapt naar nieuwe gratis accounts tot de limiet van proefperiodes
Hoewel cryptocurrencies alleen in de digitale wereld bestaan, vindt achter de schermen een gigantische fysieke operatie plaats die 'mining' wordt genoemd.
Bendes werken door accounts te registreren op bepaalde platforms, Aanmelden voor een gratis laag en een cryptocurrency-miningtoepassing uitvoeren op de gratis laaginfrastructuur van de provider. Zodra proefperiodes of gratis tegoeden hun limiet hebben bereikt, registreren groepen een nieuw account en beginnen ze opnieuw met stap één, waarbij de servers van de provider op hun bovenste gebruikslimiet blijven en de normale werking wordt vertraagd.
De lijst met services die op deze manier zijn misbruikt omvat diensten zoals GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut en Okteto. De afgelopen maanden hebben ontwikkelaars hun eigen verhalen gedeeld over soortgelijk misbruik dat ze op andere platforms hebben gezien, en sommige van deze bedrijven hebben soortgelijke ervaringen met misbruik gedeeld.
De meeste van dit misbruik komt voor bij bedrijven die continue integratiediensten aanbieden (CI). Continue integratie is de praktijk van het automatiseren van de integratie van codewijzigingen van meerdere bijdragers in een enkel softwareproject. Dit is een toonaangevende DevOps-praktijk, waardoor ontwikkelaars vaak codewijzigingen kunnen samenvoegen in een centrale opslagplaats waar vervolgens builds en tests worden uitgevoerd.
Er worden geautomatiseerde tools gebruikt om de nauwkeurigheid van de nieuwe code te verifiëren verify vóór de integratie. Een versiebeheersysteem voor de broncode is van cruciaal belang voor het CI-proces. Het versiecontrolesysteem wordt ook aangevuld met andere controles, zoals geautomatiseerde codekwaliteitstests, tools voor het controleren van syntaxisstijlen en meer.
In de praktijk wordt door de cloud gehoste CI bereikt door een nieuwe virtuele machine te maken die het bouw-, pakket- en testproces uitvoert en het resultaat vervolgens doorgeeft aan een projectmanager.
Cryptocurrency mining-bendes realiseerden zich dat ze dit proces konden misbruiken om hun eigen code toe te voegen en deze virtuele CI-machine cryptocurrency-mining-operaties te laten uitvoeren om kleine winsten voor de aanvaller te genereren vóór de aanval. De beperkte levensduur van de VM verloopt en de VM wordt afgesloten door de cloudprovider.
Dit is hoe cryptocurrency-mijnbendes misbruik maakten van GitHub's Actions-functie, die een virtuele infrastructuurfunctie biedt aan GitHub-gebruikers, om de site te minen en crypto te minen met GitHub's eigen servers.
GitHub en GitLab zijn niet de enige CI-providers die met dit misbruik te maken hebben gehad. Microsoft Azure, LayerCI, Sourcehut, CodeShip en vele andere platforms hebben volgens het rapport met deze activiteit geworsteld.
Een bedrijf als GitLab kan het zich vanwege zijn grotere omvang nog steeds veroorloven om het aanbod van gratis CI's voor zijn gebruikers te behouden door andere manieren te vinden om misbruik door cryptominers te voorkomen. Maar andere kleine IC-aanbieders kunnen dat niet. Afgelopen dinsdag zeiden Sourcehut en TravisCI, in hun beslissingen om hun betalende klanten te beschermen die een verslechtering van de service zagen, dat ze van plan zijn om te stoppen met het aanbieden van hun gratis IQ-niveaus vanwege aanhoudend misbruik.
Maar hoewel het intrekken van gratis tier-aanbiedingen voor serviceproviders een manier kan zijn om het misbruik dat ze zien te beperken, is het niet de optimale oplossing voor alleenstaande ontwikkelaars die deze aanbiedingen gebruiken voor hun open source-projecten. Een alternatieve oplossing, zoals voorgesteld door Berrelleza, zou zijn om geautomatiseerde systemen in te zetten die deze misstanden detecteren en erop reageren.. Het creëren van dergelijke systemen vereist echter middelen die sommige bedrijven niet kunnen toewijzen, en garandeert evenmin dat deze systemen werken zoals verwacht.