Μια μυστηριώδης αυτοματοποιημένη λειτουργία εξόρυξης κρυπτονομισμάτων καταγράφηκε χρησιμοποιώντας περισσότερους από 30 δωρεάν λογαριασμούς GitHub για να δημιουργήσει μια σειρά από σκοτεινές μάρκες σε μια ύποπτη ξηρή λειτουργία προτού στρέψει την προσοχή της σε πιο γνωστά νομίσματα.
Σύμφωνα με ένα αναφέρουν από το The Register, η επιχείρηση, που ονομάστηκε Purpleurchin, χρησιμοποιεί τους λογαριασμούς GitHub, μαζί με περισσότερους από 2,000 λογαριασμούς Heroku και 900 Buddy devops για να ενισχύσει τις προσπάθειες εξόρυξης.
Η τακτική ονομάζεται «freejacking» και περιλαμβάνει την ανάληψη της υπολογιστικής ισχύος που διατίθεται για δωρεάν δοκιμαστικούς λογαριασμούς σε πλατφόρμες υπηρεσιών συνεχούς ενοποίησης και ανάπτυξης (CI/CD).
Ερευνητές λένε ότι η υπεύθυνη ομάδα έχει μέχρι στιγμής μόνο εξόρυξε μια χούφτα ελάχιστα γνωστά μάρκες, συμπεριλαμβανομένων των Sugarchain, Tidecoin Onyx, Yenten, Sprint και Bitweb, και ως εκ τούτου θα έχουν μόνο πολύ χαμηλά περιθώρια κέρδους.
Ωστόσο, υπάρχει η υποψία ότι απλώς ζεσταίνονται και χρησιμοποιούν το σχετικά μικρής κλίμακας σχέδιο ως προπέτασμα καπνού για κάτι πολύ πιο επικερδές - πιθανώς ακόμη και μια επίθεση στο υποκείμενο blockchain που θα μπορούσε, θεωρητικά, να κερδίσει εκατομμύρια σε bitcoin ή monero.
«Μπορούμε να πούμε με μέτρια σιγουριά ότι ο ηθοποιός πειραματιζόταν με διαφορετικά νομίσματα», είπαν οι ερευνητές στο The Register (η έμφαση μας).
«Αυτή η μεγάλης κλίμακας επιχείρηση θα μπορούσε να είναι ένα δόλωμα για άλλες άθλιες δραστηριότητες».
Διαβάστε περισσότερα: Αυτή η ενημέρωση του Bitcoin Core θα προστατεύει τους χειριστές πλήρους κόμβου από hacks
Η πλοκή του Purpleurchin θα μπορούσε να αφήσει τους πραγματικούς χρήστες από την τσέπη
Παρά το γεγονός ότι οι πάροχοι όπως το GitHub χρησιμοποιούν μια σειρά από τακτικές — συμπεριλαμβανομένων των ολοένα και πιο περίπλοκων φορμών CAPTCHA και που απαιτούν πληροφορίες πιστωτικών καρτών — για την καταπολέμηση επιθέσεων σαν αυτές, αυτή η ομάδα θεωρείται ότι είναι ιδιαίτερα εξελιγμένη.
Σύμφωνα με ερευνητές, καθένας από τους δωρεάν λογαριασμούς GitHub κοστίζει στον ιδιοκτήτη της πλατφόρμας, τη Microsoft, 15 $ το μήνα, με τους δωρεάν λογαριασμούς Heroku και Buddy να κοστίζουν περίπου 10 $.
«Με αυτούς τους ρυθμούς, θα ήταν κόστισε σε έναν πάροχο περισσότερα από 100,000 $ για έναν ηθοποιό απειλών να εξορύξει ένα monero (XMR)», είπαν ειδικοί στο The Register.
Δυστυχώς, για τους νόμιμους χρήστες υπηρεσιών cloud, αυτά τα κόστη πιθανότατα θα μετακυλιστούν σε αυτούς από τους GitHub et al. για να καλύψουν το έλλειμμα στο τέλος τους. Οι παράνομες δραστηριότητες εξόρυξης θα μπορούσαν επίσης να απορροφήσουν πόρους που μειώνουν την απόδοση που παρέχεται στους πελάτες που πληρώνουν.
Για περισσότερα ενημερωμένα νέα, ακολουθήστε μας Twitter και ειδήσεις Google ή ακούστε το ερευνητικό μας podcast Καινοτομία: Blockchain City.
Πηγή: https://protos.com/stealthy-crypto-miners-loot-altcoins-with-github-trial-accounts/