💬 Скрытые майнеры добывают альткойны с помощью пробных аккаунтов GitHub

Скрытые майнеры добывают альткойны с помощью пробных аккаунтов GitHub

Была обнаружена таинственная операция автоматического майнинга криптовалюты с использованием более 30 бесплатных учетных записей GitHub для создания множества малоизвестных токенов в предположительно пробном прогоне, прежде чем она переключится на более известные валюты.

Согласно отчету The Register, операция, получившая название Purpleurchin, использовала учетные записи GitHub, а также более 2000 учетных записей Heroku и 900 учетных записей Buddy devops для обеспечения своих усилий по добыче полезных ископаемых.

Эта тактика называется «хакингом» и включает захват вычислительных мощностей, выделенных для бесплатных пробных учетных записей на сервисных платформах непрерывной интеграции и развертывания (CI/CD).

Исследователи говорят, что ответственная команда до сих пор добыла лишь несколько малоизвестных токенов, в том числе Sugarchain, Tidecoin Onyx, Yenten, Sprint и Bitweb, и поэтому их прибыль была очень низкой.

Однако есть подозрение, что они просто разогреваются и используют относительно мелкомасштабную схему в качестве дымовой завесы для чего-то гораздо более прибыльного — возможно, даже для атаки на базовый блокчейн, которая теоретически может принести миллионы в биткойнах или Монеро.

«Мы можем сказать со средней степенью уверенности, что актер экспериментировал с разными монетами», — сообщили The Register исследователи (курсив наш).

"Эта крупномасштабная операция может стать приманкой для других гнусных действий".

Подробнее: это обновление Bitcoin Core защитит операторов полных узлов от взлома

Сюжет Purpleurchin может оставить реальных пользователей без денег

Несмотря на то, что такие провайдеры, как GitHub, используют ряд тактик, включая все более сложные формы CAPTCHA и запрос информации о кредитной карте, для борьбы с подобными атаками, эта команда считается особенно опытной.

По данным исследователей, каждая бесплатная учетная запись GitHub обходится владельцу платформы, Microsoft, в 15 долларов США в месяц, а бесплатные учетные записи Heroku и Buddy обходятся примерно в 10 долларов США.

«При таких расценках добыча одной монеты Monero (XMR) злоумышленнику обойдется провайдеру более чем в 100 000 долларов США», — сообщили The Register эксперты.

К сожалению, для законных пользователей облачных сервисов эти расходы, скорее всего, будут переложены на них GitHub и др. чтобы покрыть дефицит в их конце. Незаконная добыча полезных ископаемых также может потреблять ресурсы, что снижает производительность платных клиентов.