Առեղծվածային ավտոմատացված կրիպտո մայնինգ օպերացիան ֆիքսվել է, օգտագործելով ավելի քան 30 անվճար GitHub հաշիվներ՝ կասկածելի չոր վազքի ընթացքում ստեղծելու անհասկանալի նշաններ, նախքան ուշադրությունը դարձնելու ավելի հայտնի արժույթների:
Ըստ հաշվետվություն The Register-ից, Purpleurchin անվանումը ստացած օպերացիան օգտագործում էր GitHub հաշիվները, ինչպես նաև ավելի քան 2,000 Heroku և 900 Buddy devops հաշիվներ՝ իր հանքարդյունաբերության ջանքերը հզորացնելու համար:
Մարտավարությունը կոչվում է «freejacking» և ներառում է հաշվողական հզորության ստանձնում, որը հատկացվում է անվճար փորձնական հաշիվներին շարունակական ինտեգրման և տեղակայման (CI/CD) սպասարկման հարթակներում:
Հետազոտողները ասում են, որ պատասխանատու թիմը մինչ այժմ միայն ականապատել է մի քանի քիչ հայտնի նշաններ, ներառյալ Sugarchain-ը, Tidecoin Onyx-ը, Yenten-ը, Sprint-ը և Bitweb-ը, և որպես այդպիսին կունենան միայն շատ ցածր շահույթի մարժան:
Այնուամենայնիվ, ենթադրվում է, որ նրանք պարզապես տաքանում են և օգտագործում են համեմատաբար փոքր սխեման որպես ծխածածկույթ շատ ավելի շահութաբեր բանի համար, հնարավոր է նույնիսկ հարձակման հիմքում ընկած բլոկչեյնի վրա, որը տեսականորեն կարող է զուտ միլիոնավոր բիթքոյններով կամ մոներոներով:
«Միջին վստահությամբ կարող ենք ասել, որ դերասանը փորձարկումներ է կատարել տարբեր մետաղադրամներով», - ասում են հետազոտողները The Register-ին (մեր շեշտադրումը):
«Այս լայնածավալ գործողությունը կարող է խաբեություն լինել այլ ստոր գործողությունների համար»:
Read more: Այս Bitcoin Core թարմացումը կպաշտպանի ամբողջական հանգույցի օպերատորներին հաքերից
Purpleurchin-ի սյուժեն կարող է իրական օգտատերերին դուրս թողնել գրպանից
Չնայած GitHub-ի նման պրովայդերներին, որոնք օգտագործում են մի շարք մարտավարություններ, ներառյալ CAPTCHA-ի ավելի բարդ ձևերը և կրեդիտ քարտի մասին տեղեկատվություն պահանջելը, նման հարձակումների դեմ պայքարելու համար, Այս թիմը համարվում է հատկապես բարդ.
Ըստ հետազոտողների, GitHub-ի անվճար հաշիվներից յուրաքանչյուրը պլատֆորմի սեփականատիրոջ՝ Microsoft-ի վրա արժե ամսական 15 դոլար, իսկ Heroku-ի և Buddy-ի անվճար հաշիվներն արժեն մոտ 10 դոլար:
«Այս տեմպերով դա կլինի մատակարարին արժեցել է ավելի քան 100,000 ԱՄՆ դոլար, սպառնալիքի դերակատարի համար՝ մեկ մոներո արդյունահանելու համար (XMR)»,- The Register-ին ասել են փորձագետները:
Ցավոք, ամպային ծառայության օրինական օգտագործողների համար այդ ծախսերը, հավանաբար, կփոխանցվեն նրանց վրա GitHub-ի և այլոց կողմից: իրենց վերջում պակասը ծածկելու համար։ Հանքարդյունաբերության ապօրինի գործառնությունները կարող են նաև խլել ռեսուրսներ, որոնք նվազեցնում են վճարող հաճախորդներին տրվող արդյունավետությունը:
Ավելի տեղեկացված նորությունների համար հետևեք մեզ Twitter և Google News- ը կամ լսեք մեր հետաքննական փոդքաստը Նորարարություն՝ Blockchain City.
Աղբյուր՝ https://protos.com/stealthy-crypto-miners-loot-altcoins-with-github-trial-accounts/