Operasi perlombongan kripto automatik yang misterius telah ditangkap menggunakan lebih daripada 30 akaun GitHub percuma untuk menghasilkan rakit token yang tidak jelas dalam jangka masa kering yang disyaki sebelum ia mengalihkan perhatiannya kepada mata wang yang lebih terkenal.
Menurut melaporkan daripada The Register, operasi itu, digelar Purpleurchin, telah menggunakan akaun GitHub, bersama lebih daripada 2,000 Heroku dan 900 Buddy menggunakan akaun untuk menggerakkan usaha perlombongannya.
Taktik ini dipanggil "jack bebas," dan melibatkan mengambil alih kuasa pengkomputeran yang diperuntukkan untuk akaun percubaan percuma pada platform perkhidmatan penyepaduan dan penggunaan berterusan (CI/CD).
Penyelidik mengatakan pasukan yang bertanggungjawab mempunyai setakat ini sahaja melombong segelintir token yang kurang diketahui, termasuk Sugarchain, Tidecoin Onyx, Yenten, Sprint, dan Bitweb, dan oleh itu hanya akan melihat margin keuntungan yang sangat rendah.
Walau bagaimanapun, disyaki bahawa mereka hanya memanaskan badan dan menggunakan skim berskala yang agak kecil sebagai tabir asap untuk sesuatu yang jauh lebih lumayan — mungkin juga serangan ke atas rantaian asas yang boleh, secara teori, menjaringkan berjuta-juta dalam bitcoin atau monero.
“Kita boleh katakan dengan keyakinan sederhana itu pelakon itu telah bereksperimen dengan syiling yang berbeza,” penyelidik memberitahu The Register (penekanan kami).
"Operasi berskala besar ini boleh menjadi umpan untuk aktiviti jahat yang lain."
Baca lebih lanjut: Kemas kini Bitcoin Core ini akan melindungi pengendali nod penuh daripada penggodaman
Plot Purpleurchin boleh menyebabkan pengguna sebenar keluar dari poket
Walaupun penyedia seperti GitHub menggunakan beberapa taktik — termasuk borang CAPTCHA yang semakin rumit dan memerlukan maklumat kad kredit — untuk memerangi serangan seperti ini, pasukan ini dianggap sangat canggih.
Menurut penyelidik, setiap akaun GitHub percuma mengenakan kos kepada pemilik platform, Microsoft, $15 sebulan, dengan akaun percuma daripada Heroku dan Buddy berharga sekitar $10.
“Pada kadar ini, ia akan berlaku kos pembekal lebih daripada $100,000 untuk pelakon ancaman melombong satu monero (XMR),” kata pakar kepada The Register.
Malangnya, bagi pengguna perkhidmatan awan yang sah, kos ini mungkin akan disalurkan kepada mereka oleh GitHub et al. untuk menampung kekurangan pada akhir mereka. Operasi perlombongan haram juga boleh menggunakan sumber yang mengurangkan prestasi yang diberikan kepada pelanggan yang membayar.
Untuk berita lebih lanjut, ikuti kami di Twitter and berita Google atau dengar podcast penyiasatan kami Diinovasi: Blockchain City.
Sumber: https://protos.com/stealthy-crypto-miners-loot-altcoins-with-github-trial-accounts/