一個神秘的自動加密貨幣挖礦操作被發現使用 30 多個免費的 GitHub 帳戶在將注意力轉向更知名的貨幣之前,在疑似空轉中產生了大量晦澀的代幣。
根據一個 report 來自 The Register 的名為 Purpleurchin 的操作一直在使用 GitHub 帳戶以及 2,000 多個 Heroku 和 900 個 Buddy devops 帳戶為其挖礦工作提供動力。
該策略稱為“劫持”,涉及接管為持續集成和部署 (CI/CD) 服務平台上的免費試用帳戶分配的計算能力。
研究人員 說負責的團隊到目前為止只有 挖掘了一些鮮為人知的代幣,包括 Sugarchain、Tidecoin Onyx、Yenten、Sprint 和 Bitweb,因此只會看到非常低的利潤率。
然而,人們懷疑他們只是在熱身,並使用相對較小規模的計劃作為煙幕,以獲得更有利可圖的東西——甚至可能是對底層區塊鏈的攻擊,理論上可以淨賺數百萬比特幣或門羅幣。
“我們可以充滿信心地說, 演員一直在嘗試不同的硬幣,”研究人員告訴 The Register(我們的重點)。
“這種大規模的行動可能成為其他邪惡活動的誘餌。”
閱讀更多: 此比特幣核心更新將保護全節點運營商免受黑客攻擊
Purpleurchin 的陰謀可能會讓真正的用戶自掏腰包
儘管像 GitHub 這樣的提供商使用了許多策略——包括越來越複雜的驗證碼表格和要求信用卡信息——來對抗這樣的攻擊, 這支隊伍被認為特別老練.
據研究人員稱,每個免費的 GitHub 帳戶每月要花費平台所有者微軟 15 美元,而 Heroku 和 Buddy 的免費帳戶則要花費大約 10 美元。
“按照這樣的速度,它會 供應商花費超過 100,000 美元讓威脅行為者開採一個門羅幣 (XMR),”專家告訴 The Register。
不幸的是,對於合法的雲服務用戶來說,這些成本可能會被 GitHub 等人轉嫁給他們。 以彌補他們最後的不足。 非法採礦作業也可能佔用資源,從而降低向付費客戶提供的性能。
來源:https://protos.com/stealthy-crypto-miners-loot-altcoins-with-github-trial-accounts/