Загадкавая аўтаматызаваная аперацыя па здабычы крыпты была выяўленая на выкарыстанні больш чым 30 бясплатных уліковых запісаў GitHub для вытворчасці незразумелых токенаў у меркаваным сухім прагоне, перш чым яна зверне сваю ўвагу на больш вядомыя валюты.
У адпаведнасці з паведамляць з The Register, аперацыя, якая атрымала назву Purpleurchin, выкарыстоўвае ўліковыя запісы GitHub, а таксама больш чым 2,000 уліковых запісаў Heroku і 900 Buddy devops для забеспячэння сваіх намаганняў па здабычы карысных выкапняў.
Гэтая тактыка называецца «бясплатны джэкінг» і прадугледжвае завалоданне вылічальнай магутнасцю, выдзеленай для бясплатных пробных уліковых запісаў на сэрвісных платформах бесперапыннай інтэграцыі і разгортвання (CI/CD).
даследнікі кажуць, што адказная каманда пакуль толькі здабыў некалькі малавядомых токенаў, у тым ліку Sugarchain, Tidecoin Onyx, Yenten, Sprint і Bitweb, і, такім чынам, будзе мець вельмі нізкі прыбытак.
Аднак ёсць падазрэнні, што яны проста разаграваюць і выкарыстоўваюць адносна дробную схему ў якасці дымавой завесы для чагосьці значна больш прыбытковага - магчыма, нават для атакі на асноўны блокчейн, які, тэарэтычна, можа прынесці мільёны ў біткойнах або monero.
«Гэта можна сказаць з сярэдняй доляй упэўненасці акцёр эксперыментаваў з рознымі манетамі», - распавялі даследчыкі The Register (курсіў наш).
«Гэтая буйнамаштабная аперацыя можа стаць прынадай для іншых гнюсных дзеянняў».
Чытайце таксама: Гэта абнаўленне Bitcoin Core абароніць аператараў поўных вузлоў ад узломаў
Сюжэт Purpleurchin можа пазбавіць рэальных карыстальнікаў кішэні
Нягледзячы на тое, што пастаўшчыкі, такія як GitHub, выкарыстоўваюць шэраг тактык - у тым ліку ўсё больш складаныя формы CAPTCHA і патрабаванне інфармацыі аб крэдытнай карце - для барацьбы з такімі нападамі, гэтая каманда лічыцца асабліва складанай.
Па словах даследчыкаў, кожны з бясплатных уліковых запісаў GitHub каштуе ўладальніку платформы, Microsoft, 15 долараў у месяц, а бясплатныя ўліковыя запісы ад Heroku і Buddy каштуюць каля 10 долараў.
«Пры такіх стаўках было б каштаваць пастаўшчыку больш за 100,000 XNUMX долараў для суб'екта пагрозы для здабычы аднаго monero (XMR)», - распавялі The Register эксперты.
На жаль, для законных карыстальнікаў хмарных сэрвісаў гэтыя выдаткі, верагодна, будуць перададзены GitHub і інш. каб пакрыць дэфіцыт у іх канцы. Незаконныя аперацыі па здабычы карысных выкапняў таксама могуць забіраць рэсурсы, што зніжае прадукцыйнасць кліентаў, якія плацяць.
Каб атрымаць больш інфармаваныя навіны, сачыце за намі Twitter і Google News або паслухайце наш падкаст-расследаванне Новаўвядзенне: Blockchain City.
Крыніца: https://protos.com/stealthy-crypto-miners-loot-altcoins-with-github-trial-accounts/