Основы Интернет - технологий.

Проблемы поставщиков CI

Издание The Record сообщает, что уже несколько месяцев майнеры злоупотребляют бесплатными аккаунтами платформ для облачных вычислений и используют их ресурсы для добычи криптовалют. Так, злоумышленники регистрируют новые учетные записи на выбранных платформах (бесплатный уровень) и запускают приложения для майнинга в инфраструктуре провайдера.

После того, как пробный или бесплатный период заканчивается, майнеры регистрируют новую учетную запись и повторяют все с начала.

Впервые о подобных злоупотреблениях стало известно в прошлом месяце, когда выяснилось, что майнеры создают огромную нагрузку на инфраструктуру GitHub и злоупотребляют CI/CD функцией GitHub Actions. С тех пор аналогичным атакам стали подвергаться GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut, Okteto и так далее.

Большинство таких атак затрагивают компании, предоставляющие услуги непрерывной интеграции (Continuous Integration, CI). Хакеры поняли, что могут злоупотреблять этим, добавляя собственный код и заставляя виртуальную CI-машину добывать криптовалюту, пока все это не будет отключено облачным провайдером. Так, после GitHub аналогичное проблемы наблюдались у Microsoft Azure, LayerCI, TravisCI, Sourcehut, CloudBees CodeShip и CircleCI.

GitLab тоже описывает в своем блоге похожую ситуацию, а рассказывает о способах борьбы с майнингом, которые применит сейчас и в будущем.

При этом GitLab не будет взимать плату с пользователей, но будет использовать данные карт для проверки личности посредством разовой транзакции в один доллар.

Из-за своих размеров GitLab может позволить себе не отключать бесплатный CI для своих пользователей. Но, к сожалению, другие более мелкие поставщики не могут позволить себе подобного. Так, Sourcehut и TravisCI уже заявили, что планируют прекратить предлагать бесплатные уровни CI из-за постоянных злоупотреблений.

Microsoft, которая столкнулась с аналогичным проблемами прошлом году (из-за Azure Pipelines), тоже решила их весьма просто. Так как большая часть проблем возникала из-за бесплатных грантов, которые раздавали разработчикам опенсорса, начиная с февраля текущего года компания отменила для опенсорсных проектов возможность получения бесплатных грантов и посоветовала использовать GitHub Actions.

Не только CI

По данным издания, подобные атаки не ограничиваются только лишь поставщиками CI. Если любой веб-сервис, предоставляет бесплатный доступ к высокопроизводительной вычислительной инфраструктуре, то майнеры, скорее всего, уже попытались им злоупотребить.

О похожих инцидентах сообщали сервис по созданию сайтов Render, кластерный хостинг Kubernetes Okteto, а крупный немецкий провайдер облачного хостинга и выделенных серверов Hetzner недавно и вовсе запретил майнинг криптовалют на своих серверах, так как пользователи использовали большие устройства хранения для майнинга криптовалюты Chia.

The Record пишет, что на многих криптовалютных форумах сейчас можно найти руководства, в которых подробно описывается, как злоупотребить бесплатным пробным периодом Oracle Cloud или дешевыми уровнями Alibaba Cloud, чтобы развернуть временный сервер для майнинга ради получения небольшой разовой прибыли.

Как индустрия будут противостоять подобным злоупотреблениям, пока неясно. Тогда как одни отказываются от предоставления бесплатных аккаунтов, другие ратуют за развертывание автоматизированных систем, которые будут обнаруживать злоупотребления в режиме реального времени и быстро на них реагировать.