En mystisk automatisert kryptogruvedrift har blitt fanget ved å bruke mer enn 30 gratis GitHub-kontoer for å produsere en rekke obskure tokens i en mistenkt tørrkjøring før den retter oppmerksomheten mot mer kjente valutaer.
Ifølge en rapporterer fra The Register har operasjonen, kalt Purpleurchin, brukt GitHub-kontoene, sammen med mer enn 2,000 Heroku- og 900 Buddy-devops-kontoer for å drive gruvearbeidet.
Taktikken kalles "freejacking", og innebærer å overta datakraften som er tildelt for gratis prøvekontoer på kontinuerlig integrasjon og distribusjon (CI/CD) tjenesteplattformer.
Forskere si det ansvarlige teamet har så langt bare utvunnet en håndfull lite kjente tokens, inkludert Sugarchain, Tidecoin Onyx, Yenten, Sprint og Bitweb, og vil som sådan bare ha hatt svært lave fortjenestemarginer.
Det er imidlertid mistanke om at de bare varmer opp og bruker det relativt småskala opplegget som røykteppe for noe langt mer lukrativt – muligens til og med et angrep på den underliggende blokkjeden som i teorien kan gi millioner i bitcoin eller monero.
– Det kan vi si med en middels sikkerhet skuespilleren har eksperimentert med forskjellige mynter", fortalte forskere til The Register (vår vektlegging).
"Denne storskalaoperasjonen kan være et lokkemiddel for andre grusomme aktiviteter."
Les mer: Denne Bitcoin Core-oppdateringen vil beskytte full node-operatører mot hacks
Purpleurchins plot kan gi ekte brukere ut av lommen
Til tross for at leverandører som GitHub bruker en rekke taktikker – inkludert stadig mer kompliserte CAPTCHA-skjemaer og krever kredittkortinformasjon – for å bekjempe angrep som disse, dette teamet antas å være spesielt sofistikert.
Ifølge forskere koster hver av de gratis GitHub-kontoene plattformens eier, Microsoft, $15 per måned, mens gratiskontoene fra Heroku og Buddy koster rundt $10.
"Med disse prisene, ville det koste en leverandør mer enn $100,000 XNUMX for en trusselaktør å utvinne en monero (XMR),» sa eksperter til The Register.
Dessverre, for legitime skytjenestebrukere, vil disse kostnadene sannsynligvis bli overført til dem av GitHub et al. for å dekke underskuddet på slutten. Ulovlig gruvedrift kan også ta opp ressurser som reduserer ytelsen til betalende kunder.
For mer informerte nyheter, følg oss videre Twitter og Google Nyheter eller lytt til vår undersøkende podcast Nyskapt: Blockchain City.
Kilde: https://protos.com/stealthy-crypto-miners-loot-altcoins-with-github-trial-accounts/