En mystisk automatiseret kryptominedrift er blevet fanget ved at bruge mere end 30 gratis GitHub-konti til at producere en række obskure tokens i en formodet tørløb, før den vender opmærksomheden mod mere velkendte valutaer.
Ifølge en indberette fra The Register har operationen, kaldet Purpleurchin, brugt GitHub-konti sammen med mere end 2,000 Heroku- og 900 Buddy-devops-konti til at drive minedriften.
Taktikken kaldes "freejacking", og involverer overtagelse af den computerkraft, der er allokeret til gratis prøvekonti på kontinuerlig integration og udrulning (CI/CD) serviceplatforme.
Forskere sige, at det ansvarlige team har hidtil kun udvundet en håndfuld lidet kendte tokens, herunder Sugarchain, Tidecoin Onyx, Yenten, Sprint og Bitweb, og vil som sådan kun have set meget lave avancer.
Det er dog mistanke om, at de bare varmer op og bruger den relativt lille ordning som et røgslør til noget langt mere lukrativt - muligvis endda et angreb på den underliggende blockchain, der i teorien kunne tjene millioner i bitcoin eller monero.
»Det kan vi sige med en middel grad af selvtillid skuespilleren har eksperimenteret med forskellige mønter,” fortalte forskere til The Register (vores fremhævelse).
"Denne storstilede operation kunne være et lokkemiddel for andre ondsindede aktiviteter."
Læs mere: Denne Bitcoin Core-opdatering vil beskytte fulde node-operatører mod hacks
Purpleurchins plot kunne give rigtige brugere ud af lommen
På trods af at udbydere som GitHub bruger en række taktikker - herunder stadig mere komplicerede CAPTCHA-formularer og kræver kreditkortoplysninger - for at bekæmpe angreb som disse, dette hold menes at være særligt sofistikeret.
Ifølge forskere koster hver af de gratis GitHub-konti platformens ejer, Microsoft, $15 om måneden, mens de gratis konti fra Heroku og Buddy koster omkring $10.
"Med disse satser ville det koste en udbyder mere end $100,000 for en trusselskuespiller til at mine en monero (XMR),« sagde eksperter til The Register.
Desværre, for legitime cloud-tjenestebrugere, vil disse omkostninger sandsynligvis blive overført til dem af GitHub et al. for at dække manglen i deres ende. Ulovlige minedrift kan også optage ressourcer, der reducerer ydeevnen til betalende kunder.
For mere informerede nyheder, følg os på Twitter , Google Nyheder eller lyt til vores undersøgende podcast Fornyet: Blockchain City.
Kilde: https://protos.com/stealthy-crypto-miners-loot-altcoins-with-github-trial-accounts/