Habang ang halaga ng enerhiya ay ang nangungunang pintas laban sa mga minero ng mga cryptocurrency ngayon, isa pang problema ang lumitaw sa mga cloud computing platform sa mga nakaraang buwan, mula pa ang ilang mga pangkat ng mga minero ay umaabuso sa mga libreng antas ng mga platform ng cloud service upang mina ang mga cryptocurrency.
Naunang nabanggit sa pag-atake at pag-hijack ng mga hindi na-send na server, iba't ibang mga serbisyo ng Continuous Integration (CI) ang nagrereklamo tungkol sa mga gang na ito, na magparehistro ng mga libreng account sa kanilang platform bago lumipat sa mga bagong libreng account hanggang sa limitasyon ng mga panahon ng pagsubok.
Bagaman ang mga cryptocurrency ay mayroon lamang sa digital na mundo, isang naglalakihang pisikal na operasyon na tinatawag na "pagmimina" ay nagaganap sa likod ng mga eksena.
Nagpapatakbo ang mga gang sa pamamagitan ng pagrehistro ng mga account sa ilang mga platform, Pag-sign up para sa isang libreng baitang at pagpapatakbo ng isang aplikasyon ng cryptocurrency mining sa libreng imprastraktura ng tier ng provider. Kapag naabot na ng mga panahon ng pagsubok o mga libreng kredito ang kanilang limitasyon, nagparehistro ang mga pangkat ng isang bagong account at nagsisimulang muli sa hakbang, na pinapanatili ang mga server ng provider sa kanilang pinakamataas na limitasyon sa paggamit at pinapabagal ang normal na operasyon.
Ang listahan ng mga serbisyo na inabuso sa ganitong paraan may kasamang mga serbisyo tulad ng GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut at Okteto. Sa nakaraang ilang buwan, nagbahagi ang mga developer ng kanilang sariling mga kwento ng katulad na pang-aabuso na nakita nila sa iba pang mga platform, at ang ilan sa mga kumpanyang ito ay umunlad upang ibahagi ang mga katulad na karanasan sa pang-aabuso.
Karamihan ng ang maling paggamit na ito ay nangyayari sa mga kumpanya na nagbibigay ng patuloy na mga serbisyo sa pagsasama (CI). Ang patuloy na pagsasama ay ang pagsasanay ng pag-automate ng pagsasama ng mga pagbabago sa code mula sa maraming mga nag-aambag sa isang solong proyekto ng software. Ito ay isang nangungunang kasanayan sa DevOps, pinapayagan ang mga developer na madalas na pagsamahin ang mga pagbabago sa code sa isang gitnang imbakan kung saan tatakbo ang mga build at pagsubok.
Ginagamit ang mga awtomatikong tool upang mapatunayan ang kawastuhan ng bagong code bago ang pagsasama nito. Ang isang sistema ng kontrol ng bersyon ng mapagkukunan ay kritikal sa proseso ng CI. Ang sistema ng pagkontrol ng bersyon ay kinumpleto din ng iba pang mga tseke, tulad ng mga awtomatikong pagsusulit sa kalidad ng code, mga tool sa pagsuri sa istilo ng syntax, at marami pa.
Sa pagsasagawa, ang cloud-host CI ay nakakamit sa pamamagitan ng paglikha ng isang bagong virtual machine na gumaganap ng proseso ng pagbuo, pakete, at pagsubok, pagkatapos ay ipapasa ang resulta sa isang manager ng proyekto.
Natanto ng mga Cryptocurrency mining gang na maaari nilang abusuhin ang prosesong ito upang magdagdag ng kanilang sariling code at gawin ang CI virtual machine na ito na magsagawa ng mga operasyon sa pagmimina ng cryptocurrency upang makabuo ng maliit na kita para sa umaatake bago ang atake. Ang limitadong habang-buhay ng VM ay mag-e-expire at ang VM ay isinara ng cloud provider.
Ganito inabuso ng mga gang ng pagmimina ng cryptocurrency ang tampok na Mga Aksyon ng GitHub, na nag-aalok ng isang tampok na virtual na imprastraktura sa mga gumagamit ng GitHub, upang minain ang site at mina ang crypto na may sariling mga server ng GitHub.
Ang GitHub at GitLab ay hindi lamang ang mga nagbibigay ng CI na humarap sa pang-aabusong ito. Ang Microsoft Azure, LayerCI, Sourcehut, CodeShip, at maraming iba pang mga platform ay nagpupumilit sa aktibidad na ito, ayon sa ulat.
Ang isang kumpanya tulad ng GitLab, dahil sa mas malaking sukat nito, ay kayang pa rin mapanatili ang pag-aalok ng mga libreng CI para sa mga gumagamit nito sa pamamagitan ng paghahanap ng iba pang mga paraan upang maiwasan ang maling paggamit ng mga crypto miner. Ngunit ang iba pang maliliit na tagapagbigay ng IC ay hindi magagawa. Noong nakaraang Martes, sa kanilang mga desisyon na protektahan ang kanilang mga nagbabayad na customer na nakakita ng pagkasira ng serbisyo, sinabi ng Sourcehut at TravisCI na balak nilang ihinto ang pag-aalok ng kanilang mga libreng IQ tier dahil sa patuloy na pang-aabuso.
Ngunit habang tinatanggal ang mga libreng alok ng tier para sa mga service provider ay maaaring isang paraan upang limitahan ang nakikita nilang pang-aabuso, hindi ito ang pinakamainam na solusyon para sa mga nag-iisa na developer na gumagamit ng mga alok na ito para sa kanilang mga bukas na proyekto ng mapagkukunan. Ang isang kahaliling solusyon, tulad ng iminungkahi ni Berrelleza, ay ang paglalagay ng mga awtomatikong system na nakakakita at tumutugon sa mga pang-aabusong ito.. Gayunpaman, ang paglikha ng mga naturang system ay nangangailangan ng mga mapagkukunan na hindi maaaring ilaan ng ilang kumpanya, at hindi rin ginagarantiyahan na gumagana ang mga sistemang ito tulad ng inaasahan.