Mens kostnadene for energi er den viktigste kritikken mot gruvearbeidere av kryptovalutaer i dag, Et annet problem har oppstått i cloud computing-plattformer de siste månedene, siden noen grupper av gruvearbeidere misbruker gratis nivåer av skytjenesteplattformer for å utvide kryptovalutaer.
Tidligere sitert i angrep og kapring av ikke-oppdaterte servere, klager forskjellige tjenester for kontinuerlig integrasjon (CI) nå over disse gjengene, som registrer gratis kontoer på plattformen deres før du går til nye gratis kontoer opp til grensen for prøveperioder.
Selv om kryptokurver bare eksisterer i den digitale verden, foregår en gigantisk fysisk operasjon kalt "gruvedrift" bak kulissene.
Gjenger opererer ved å registrere kontoer på bestemte plattformer, Registrer deg for et gratis nivå og kjør en cryptocurrency mining-applikasjon på leverandørens gratis nivå infrastruktur. Når prøveperioder eller gratis kreditter har nådd grensen, registrerer grupper en ny konto og begynner trinn ett igjen, og holder leverandørens servere på den øvre bruksgrensen og reduserer normal drift.
Listen over tjenester som har blitt misbrukt på denne måten inkluderer tjenester som GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut og Okteto. I løpet av de siste månedene har utviklere delt sine egne historier om lignende misbruk som de har sett på andre plattformer, og noen av disse selskapene har kommet frem for å dele lignende opplevelser av misbruk.
Det meste av dette misbruket forekommer i selskaper som tilbyr kontinuerlige integrasjonstjenester (CI). Kontinuerlig integrering er praksisen med å automatisere integrering av kodeendringer fra flere bidragsytere til et enkelt programvareprosjekt. Dette er en ledende DevOps-praksis, slik at utviklere ofte kan slå sammen kodeendringer i et sentralt depot der bygg og tester kjøres.
Automatiserte verktøy brukes til å verifisere nøyaktigheten til den nye koden før integrasjonen. Et kildekodeversjonskontrollsystem er avgjørende for CI-prosessen. Versjonskontrollsystemet suppleres også av andre kontroller, for eksempel automatiserte kodekvalitetstester, verktøy for syntaksstilkontroll og mer.
I praksis oppnås skyhostet CI ved å lage en ny virtuell maskin som utfører bygg-, pakke- og testprosessen, og videreformidler resultatet til en prosjektleder.
Gruvegrupper med kryptovaluta innså at de kunne misbruke denne prosessen for å legge til sin egen kode og få denne virtuelle CI-maskinen til å utføre cryptocurrency-gruvedrift for å generere liten fortjeneste for angriperen før angrepet. Den begrensede levetiden til VM utløper, og VM lukkes av skyleverandøren.
Dette er hvordan kryptovaluta-gruver misbruker GitHub Actions-funksjonen, som tilbyr en virtuell infrastrukturfunksjon til GitHub-brukere, for å bryte nettstedet og gruve krypto med GitHubs egne servere.
GitHub og GitLab er ikke de eneste CI-leverandørene som har møtt dette overgrepet. Microsoft Azure, LayerCI, Sourcehut, CodeShip og mange andre plattformer har slitt med denne aktiviteten, ifølge rapporten.
Et selskap som GitLab, på grunn av sin større størrelse, har fortsatt råd til å beholde tilbudet av gratis CI-er for brukerne sine ved å finne andre måter å forhindre misbruk av kryptominnearbeidere. Men andre små IC-leverandører kan ikke. Forrige tirsdag, i beslutningene om å beskytte betalende kunder som så tjenesteforringelse, sa Sourcehut og TravisCI at de planlegger å slutte å tilby sine gratis IQ-nivåer på grunn av pågående misbruk.
Men mens tilbakekalling av gratis gruppetilbud for tjenesteleverandører kan være en måte å begrense misbruket de ser, er det ikke den optimale løsningen for ensomme utviklere som bruker disse tilbudene til sine åpen kildekode-prosjekter. En alternativ løsning, som foreslått av Berrelleza, ville være å distribuere automatiserte systemer som oppdager og reagerer på disse overgrepene.. Å lage slike systemer krever imidlertid ressurser som noen selskaper ikke kan tildele, og det garanterer heller ikke at disse systemene fungerer som forventet.