Operasi penambangan kripto otomatis yang misterius telah tertangkap menggunakan lebih dari 30 akun GitHub gratis untuk menghasilkan sejumlah token yang tidak jelas dalam dugaan dry run sebelum mengalihkan perhatiannya ke mata uang yang lebih terkenal.
Menurut melaporkan dari The Register, operasi, yang dijuluki Purpleurchin, telah menggunakan akun GitHub, bersama lebih dari 2,000 akun Heroku dan 900 Buddy devops untuk mendukung upaya penambangannya.
Taktik ini disebut “freejacking”, dan melibatkan pengambilan alih daya komputasi yang dialokasikan untuk akun uji coba gratis pada platform layanan continuous integration and deployment (CI/CD).
Peneliti mengatakan tim yang bertanggung jawab sejauh ini hanya menambang beberapa token yang tidak banyak diketahui, termasuk Sugarchain, Tidecoin Onyx, Yenten, Sprint, dan Bitweb, dan dengan demikian hanya akan melihat margin keuntungan yang sangat rendah.
Namun, diduga bahwa mereka hanya melakukan pemanasan dan menggunakan skema skala yang relatif kecil sebagai tabir asap untuk sesuatu yang jauh lebih menguntungkan — bahkan mungkin serangan terhadap blockchain yang mendasarinya yang secara teori dapat menghasilkan jutaan bitcoin atau monero.
“Kita dapat mengatakan dengan keyakinan sedang bahwa aktor telah bereksperimen dengan koin yang berbeda, ”kata peneliti kepada The Register (penekanan kami).
“Operasi skala besar ini bisa menjadi umpan untuk kegiatan jahat lainnya.”
Baca lebih lanjut: Pembaruan Bitcoin Core ini akan melindungi operator full node dari peretasan
Plot Purpleurchin bisa membuat pengguna nyata kehabisan uang
Meskipun penyedia seperti GitHub menggunakan sejumlah taktik — termasuk formulir CAPTCHA yang semakin rumit dan memerlukan informasi kartu kredit — untuk memerangi serangan seperti ini, tim ini dianggap sangat canggih.
Menurut peneliti, masing-masing akun GitHub gratis membebani pemilik platform, Microsoft, $15 per bulan, dengan akun gratis dari Heroku dan Buddy berharga sekitar $10.
“Pada tingkat ini, itu akan— biaya penyedia lebih dari $ 100,000 untuk aktor ancaman untuk menambang satu monero (XMR),” kata para ahli kepada The Register.
Sayangnya, untuk pengguna layanan cloud yang sah, biaya ini kemungkinan akan dibebankan kepada mereka oleh GitHub et al. untuk menutupi kekurangan di akhir mereka. Operasi penambangan ilegal juga dapat menghabiskan sumber daya yang mengurangi kinerja yang diberikan kepada pelanggan yang membayar.
Untuk berita lebih lanjut, ikuti kami di Twitter dan berita Google atau dengarkan podcast investigasi kami Inovasi: Kota Blockchain.
Sumber: https://protos.com/stealthy-crypto-miners-loot-altcoins-with-github-trial-accounts/