פעולת כריית קריפטו אוטומטית מסתורית נתפסה תוך שימוש ביותר מ-30 חשבונות GitHub חינמיים כדי לייצר שורה של אסימונים לא ברורים בחשד לריצה יבשה לפני שהיא מפנה את תשומת ליבה למטבעות ידועים יותר.
פי לדווח מ-The Register, המבצע, המכונה Purpleurchin, משתמש בחשבונות GitHub, לצד יותר מ-2,000 חשבונות Heroku ו-900 Buddy devops כדי להפעיל את מאמצי הכרייה שלו.
הטקטיקה נקראת "freejacking", והיא כוללת השתלטות על כוח המחשוב המוקצה לחשבונות ניסיון בחינם בפלטפורמות שירות אינטגרציה ופריסה מתמשכת (CI/CD).
חוקרים אומרים שהצוות האחראי עשה עד כה רק כרה קומץ של אסימונים לא ידועים, כולל Sugarchain, Tidecoin Onyx, Yenten, Sprint ו-Bitweb, וככאלה יראו רק שולי רווח נמוכים מאוד.
עם זאת, יש חשד שהם רק מתחממים ומשתמשים בתוכנית בקנה מידה קטן יחסית כמסך עשן למשהו הרבה יותר משתלם - אולי אפילו התקפה על הבלוקצ'יין הבסיסי שיכולה, בתיאוריה, לגייס מיליונים בביטקוין או מונרו.
"אנחנו יכולים לומר את זה בכמות בינונית של ביטחון השחקן התנסה במטבעות שונים", אמרו חוקרים ל-The Register (ההדגשה שלנו).
"המבצע בקנה מידה גדול זה יכול להיות פתיל לפעילויות מרושעות אחרות".
קרא עוד: עדכון Bitcoin Core זה יגן על מפעילי צומת מלאים מפני פריצות
העלילה של Purpleurchin עלולה להשאיר משתמשים אמיתיים מחוץ לכיס
למרות שספקים כמו GitHub משתמשים במספר טקטיקות - כולל טפסי CAPTCHA שהולכים ונעשים מסובכים ודורשים פרטי כרטיס אשראי - כדי להילחם בהתקפות כמו אלה, צוות זה נחשב מתוחכם במיוחד.
לפי החוקרים, כל אחד מחשבונות GitHub החינמיים עולה לבעלת הפלטפורמה, מיקרוסופט, $15 לחודש, כאשר החשבונות החינמיים של Heroku ו-Baddy עולים בסביבות $10.
"בשיעורים האלה, זה יקרה עלה לספק יותר מ-100,000 דולר עבור שחקן איום לכרות מונרו אחד (XMR)", אמרו מומחים ל-The Register.
למרבה הצער, עבור משתמשי שירותי ענן לגיטימיים, עלויות אלו ככל הנראה יועברו עליהם על ידי GitHub et al. כדי לכסות את המחסור בסופם. פעולות כרייה לא חוקיות עלולות גם לגזול משאבים המפחיתים את הביצועים המוענקים ללקוחות משלמים.
לחדשות מושכלות יותר, עקבו אחרינו טויטר ו חדשות גוגל או האזינו לפודקאסט התחקיר שלנו חדש: Blockchain City.
מקור: https://protos.com/stealthy-crypto-miners-loot-altcoins-with-github-trial-accounts/