虽然能源成本是对矿工的第一批评 今天的加密货币, 云计算平台出现了另一个问题 近几个月以来,由于 一些矿工团体正在滥用免费级别 用于挖掘加密货币的云服务平台。
以前在攻击和劫持未打补丁的服务器时被引用,现在各种持续集成 (CI) 服务都在抱怨这些团伙, 在试用期限制之前,先在他们的平台上注册免费帐户,然后再使用新的免费帐户。
尽管加密货币只存在于数字世界中,但在幕后进行了一项名为“挖矿”的巨大物理操作。
帮派通过在某些平台上注册帐户来运作, 注册免费层并在提供商的免费层基础架构上运行加密货币挖掘应用程序。 一旦试用期或免费积分达到上限,组就会注册一个新帐户并重新开始第一步,将提供商的服务器保持在使用上限并减慢正常操作。
以这种方式被滥用的服务列表 包括 GitHub、GitLab、Microsoft Azure、TravisCI、LayerCI、CircleCI、Render、CloudBees CodeShip、Sourcehut 和 Okteto 等服务. 在过去的几个月里,开发人员分享了他们在其他平台上看到的类似滥用的故事,其中一些公司也站出来分享了类似的滥用经历。
大部分 这种滥用发生在提供持续集成服务的公司中 (CI)。 持续集成是将来自多个贡献者的代码更改自动集成到单个软件项目中的实践。 这是一项领先的 DevOps 实践,允许开发人员经常将代码更改合并到一个中央存储库中,然后在该存储库中运行构建和测试。
自动化工具用于验证新代码的准确性 在整合之前。 源代码版本控制系统对 CI 过程至关重要。 版本控制系统还辅以其他检查,例如自动代码质量测试、语法样式检查工具等。
在实践中,云托管 CI 是通过创建一个新的虚拟机来实现的,该虚拟机执行构建、打包和测试过程,然后将结果传递给项目经理。
加密货币挖掘团伙意识到他们可以滥用这个过程来添加自己的代码,并让这个 CI 虚拟机执行加密货币挖掘操作,以便在攻击前为攻击者创造微薄的利润。 VM 的有限生命周期到期,VM 将被云提供商关闭。
这就是加密货币挖掘团伙滥用 GitHub Actions 功能(该功能为 GitHub 用户提供虚拟基础设施功能)来挖掘站点并使用 GitHub 自己的服务器挖掘加密货币的方式。
GitHub 和 GitLab 不是唯一的 CI 提供者 谁曾面临这种虐待。 报告称,Microsoft Azure、LayerCI、Sourcehut、CodeShip 和许多其他平台都在努力应对这一活动。
像 GitLab 这样的公司,由于规模较大,仍然可以通过寻找其他方法来防止加密矿工滥用,继续为其用户提供免费 CI。 但其他小型 IC 供应商不能。 上周二,Sourcehut 和 TravisCI 在决定保护服务质量下降的付费客户时表示,由于持续滥用,他们计划停止提供免费 IQ 等级。
但是,虽然取消服务提供商的免费套餐可能是限制他们看到的滥用的一种方法,但对于将这些优惠用于其开源项目的单独开发人员来说,这并不是最佳解决方案。 Berrelleza 提出的另一种解决方案是部署自动化系统来检测和响应这些滥用行为。. 但是,创建这样的系统需要一些公司无法分配的资源,也不能保证这些系统按预期工作。