Embora o custo da energia seja a crítica número um contra os mineiros de criptomoedas hoje, outro problema surgiu em plataformas de computação em nuvem nos últimos meses, desde alguns grupos de mineiros estão abusando dos níveis gratuitos de plataformas de serviço em nuvem para minerar criptomoedas.
Citado anteriormente no ataque e sequestro de servidores não corrigidos, vários serviços de Integração Contínua (CI) agora estão reclamando dessas gangues, que registrar contas gratuitas em sua plataforma antes de mudar para novas contas gratuitas até o limite dos períodos de teste
Embora as criptomoedas existam apenas no mundo digital, uma gigantesca operação física chamada "mineração" ocorre nos bastidores.
As gangues operam registrando contas em certas plataformas, Inscrever-se para obter um nível gratuito e executar um aplicativo de mineração de criptomoedas na infraestrutura de nível gratuito do provedor. Quando os períodos de teste ou créditos gratuitos atingem seu limite, os grupos registram uma nova conta e iniciam a etapa um novamente, mantendo os servidores do provedor em seu limite máximo de uso e desacelerando as operações normais.
A lista de serviços que foram abusados desta forma inclui serviços como GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut e Okteto. Nos últimos meses, os desenvolvedores compartilharam suas próprias histórias de abusos semelhantes que viram em outras plataformas, e algumas dessas empresas se apresentaram para compartilhar experiências semelhantes de abuso.
A maior parte de esse uso indevido ocorre em empresas que fornecem serviços de integração contínua (CI). A integração contínua é a prática de automatizar a integração de alterações de código de vários contribuidores em um único projeto de software. Esta é uma prática líder de DevOps, permitindo que os desenvolvedores frequentemente mesclem alterações de código em um repositório central onde compilações e testes são executados.
Ferramentas automatizadas são usadas para verificar a precisão do novo código antes de sua integração. Um sistema de controle de versão do código-fonte é fundamental para o processo de CI. O sistema de controle de versão também é complementado por outras verificações, como testes de qualidade de código automatizados, ferramentas de verificação de estilo de sintaxe e muito mais.
Na prática, a CI hospedada em nuvem é obtida criando uma nova máquina virtual que executa o processo de construção, pacote e teste e, em seguida, retransmite o resultado para um gerente de projeto.
As gangues de mineração de criptomoedas perceberam que poderiam abusar desse processo para adicionar seu próprio código e fazer com que essa máquina virtual de CI realizasse operações de mineração de criptomoedas para gerar pequenos lucros para o invasor antes do ataque. A vida útil limitada da VM expira e a VM é desligada pelo provedor de nuvem.
Foi assim que gangues de mineração de criptomoedas abusaram do recurso Actions do GitHub, que oferece um recurso de infraestrutura virtual para usuários do GitHub, para minerar o site e minerar criptografia com os próprios servidores do GitHub.
GitHub e GitLab não são os únicos provedores de CI que enfrentaram esse abuso. Microsoft Azure, LayerCI, Sourcehut, CodeShip e muitas outras plataformas têm lutado com essa atividade, de acordo com o relatório.
Uma empresa como o GitLab, devido ao seu tamanho maior, ainda pode manter sua oferta de CIs gratuitos para seus usuários, encontrando outras maneiras de evitar o uso indevido por mineradores de criptografia. Mas outros pequenos provedores de IC não podem. Na terça-feira passada, em suas decisões para proteger seus clientes pagantes que viram o serviço degradado, Sourcehut e TravisCI disseram que planejam parar de oferecer seus níveis de QI gratuitos devido ao abuso contínuo.
Mas embora revogar ofertas de nível gratuito para provedores de serviço possa ser uma maneira de limitar o abuso que eles veem, não é a solução ideal para desenvolvedores solitários que usam essas ofertas para seus projetos de código aberto. Uma solução alternativa, proposta por Berrelleza, seria implantar sistemas automatizados que detectem e respondam a esses abusos.. No entanto, a criação de tais sistemas requer recursos que algumas empresas não podem alocar, nem garante que esses sistemas funcionem conforme o esperado.