ในขณะที่ค่าพลังงานเป็นการวิจารณ์อันดับหนึ่งต่อคนงานเหมือง ของ cryptocurrencies วันนี้ ปัญหาอื่นเกิดขึ้นในแพลตฟอร์มคลาวด์คอมพิวติ้ง ในช่วงหลายเดือนที่ผ่านมา ตั้งแต่ นักขุดบางกลุ่มใช้ระดับฟรีอย่างไม่เหมาะสม ของแพลตฟอร์มบริการคลาวด์เพื่อขุด cryptocurrencies
ก่อนหน้านี้ที่อ้างถึงในการโจมตีและจี้เซิร์ฟเวอร์ที่ไม่ได้รับการแพตช์ บริการ Continuous Integration (CI) ต่างๆ กำลังบ่นเกี่ยวกับแก๊งเหล่านี้ซึ่ง ลงทะเบียนบัญชีฟรีบนแพลตฟอร์มก่อนที่จะย้ายไปยังบัญชีฟรีใหม่จนถึงขีดจำกัดระยะเวลาทดลองใช้
แม้ว่า cryptocurrencies จะมีอยู่ในโลกดิจิทัลเท่านั้น แต่การดำเนินการทางกายภาพขนาดมหึมาที่เรียกว่า "การขุด" เกิดขึ้นเบื้องหลัง
แก๊งค์ทำงานโดยการลงทะเบียนบัญชีบนบางแพลตฟอร์ม การลงชื่อสมัครใช้ Free Tier และใช้งานแอปพลิเคชันการขุด cryptocurrency บนโครงสร้างพื้นฐาน Free Tier ของผู้ให้บริการ เมื่อช่วงทดลองใช้งานหรือเครดิตฟรีถึงขีดจำกัดแล้ว กลุ่มจะลงทะเบียนบัญชีใหม่และเริ่มขั้นตอนที่หนึ่งอีกครั้ง ทำให้เซิร์ฟเวอร์ของผู้ให้บริการอยู่ที่ขีดจำกัดการใช้งานสูงสุดและทำให้การทำงานปกติช้าลง
รายการบริการที่ถูกละเมิดในลักษณะนี้ รวมถึงบริการต่างๆ เช่น GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut และ Okteto. ในช่วงไม่กี่เดือนที่ผ่านมา นักพัฒนาได้แบ่งปันเรื่องราวของพวกเขาเองเกี่ยวกับการละเมิดที่คล้ายคลึงกันที่พวกเขาได้เห็นบนแพลตฟอร์มอื่น ๆ และบริษัทเหล่านี้บางแห่งก็ออกมาแบ่งปันประสบการณ์การล่วงละเมิดที่คล้ายคลึงกัน
ส่วนใหญ่ของ การใช้ในทางที่ผิดนี้เกิดขึ้นในบริษัทที่ให้บริการการรวมอย่างต่อเนื่อง integration (ซีไอ). การผสานรวมอย่างต่อเนื่องเป็นแนวทางปฏิบัติในการรวมการเปลี่ยนแปลงโค้ดโดยอัตโนมัติจากผู้มีส่วนร่วมหลายรายในโปรเจ็กต์ซอฟต์แวร์เดียว นี่เป็นแนวทางปฏิบัติของ DevOps ชั้นนำ ซึ่งช่วยให้นักพัฒนาสามารถรวมการเปลี่ยนแปลงโค้ดเข้าไว้ในที่เก็บส่วนกลางได้บ่อยครั้ง จากนั้นจึงเรียกใช้งานบิลด์และการทดสอบ
เครื่องมืออัตโนมัติใช้สำหรับตรวจสอบความถูกต้องของรหัสใหม่ ก่อนการรวมเข้าด้วยกัน ระบบควบคุมเวอร์ชันซอร์สโค้ดมีความสำคัญต่อกระบวนการ CI ระบบควบคุมเวอร์ชันยังเสริมด้วยการตรวจสอบอื่นๆ เช่น การทดสอบคุณภาพโค้ดอัตโนมัติ เครื่องมือตรวจสอบรูปแบบไวยากรณ์ และอื่นๆ
ในทางปฏิบัติ CI ที่โฮสต์บนคลาวด์ทำได้โดยการสร้างเครื่องเสมือนใหม่ที่ดำเนินการสร้าง แพ็คเกจ และกระบวนการทดสอบ จากนั้นจึงถ่ายทอดผลลัพธ์ไปยังผู้จัดการโครงการ
แก๊งทำเหมือง Cryptocurrency ตระหนักดีว่าพวกเขาสามารถใช้กระบวนการนี้ในทางที่ผิดเพื่อเพิ่มรหัสของตนเองและให้เครื่องเสมือน CI นี้ดำเนินการขุด cryptocurrency เพื่อสร้างผลกำไรเล็กน้อยสำหรับผู้โจมตีก่อนการโจมตี อายุการใช้งานที่จำกัดของ VM หมดอายุและ VM ถูกปิดโดยผู้ให้บริการระบบคลาวด์
นี่คือวิธีที่แก๊งทำเหมือง cryptocurrency ใช้คุณลักษณะ GitHub Actions ในทางที่ผิด ซึ่งมีคุณลักษณะโครงสร้างพื้นฐานเสมือนสำหรับผู้ใช้ GitHub เพื่อขุดไซต์และขุด crypto ด้วยเซิร์ฟเวอร์ของ GitHub
GitHub และ GitLab ไม่ใช่ผู้ให้บริการ CI เพียงรายเดียว ที่ได้เผชิญกับการล่วงละเมิดนี้ Microsoft Azure, LayerCI, Sourcehut, CodeShip และแพลตฟอร์มอื่นๆ ประสบปัญหากับกิจกรรมนี้ ตามรายงาน
บริษัทเช่น GitLab เนื่องจากขนาดที่ใหญ่กว่า ยังคงสามารถเสนอ CI ฟรีสำหรับผู้ใช้ของตนได้โดยค้นหาวิธีอื่นในการป้องกันการใช้ในทางที่ผิดโดยนักขุดคริปโต แต่ผู้ให้บริการ IC รายเล็กรายอื่นไม่สามารถทำได้ เมื่อวันอังคารที่แล้ว ในการตัดสินใจของพวกเขาเพื่อปกป้องลูกค้าที่จ่ายเงินของพวกเขาซึ่งเห็นว่าบริการลดลง Sourcehut และ TravisCI กล่าวว่าพวกเขาวางแผนที่จะหยุดเสนอระดับ IQ ฟรีเนื่องจากการละเมิดอย่างต่อเนื่อง
แต่ในขณะที่การเพิกถอนข้อเสนอ Free Tier สำหรับผู้ให้บริการอาจเป็นวิธีหนึ่งในการจำกัดการละเมิดที่พวกเขาเห็น แต่ก็ไม่ใช่ทางออกที่ดีที่สุดสำหรับนักพัฒนาเพียงคนเดียวที่ใช้ข้อเสนอเหล่านี้สำหรับโครงการโอเพ่นซอร์สของพวกเขา ทางเลือกอื่นตามที่ Berrelleza เสนอคือการติดตั้งระบบอัตโนมัติที่ตรวจจับและตอบสนองต่อการละเมิดเหล่านี้. อย่างไรก็ตาม การสร้างระบบดังกล่าวต้องใช้ทรัพยากรที่บางบริษัทไม่สามารถจัดสรรได้ และไม่รับประกันว่าระบบเหล่านี้จะทำงานได้ตามที่คาดไว้