一个神秘的自动加密货币挖矿操作被发现使用 30 多个免费的 GitHub 帐户在将注意力转向更知名的货币之前,在疑似空转中产生了大量晦涩的代币。
根据一个 报告 来自 The Register 的名为 Purpleurchin 的操作一直在使用 GitHub 帐户以及 2,000 多个 Heroku 和 900 个 Buddy devops 帐户为其挖矿工作提供动力。
该策略称为“劫持”,涉及接管为持续集成和部署 (CI/CD) 服务平台上的免费试用帐户分配的计算能力。
研究人员 说负责的团队到目前为止只有 挖掘了一些鲜为人知的代币,包括 Sugarchain、Tidecoin Onyx、Yenten、Sprint 和 Bitweb,因此只会看到非常低的利润率。
然而,人们怀疑他们只是在热身,并使用相对较小规模的计划作为烟幕,以获得更有利可图的东西——甚至可能是对底层区块链的攻击,理论上可以净赚数百万比特币或门罗币。
“我们可以充满信心地说, 演员一直在尝试不同的硬币,”研究人员告诉 The Register(我们的重点)。
“这种大规模的行动可能成为其他邪恶活动的诱饵。”
了解更多: 此比特币核心更新将保护全节点运营商免受黑客攻击
Purpleurchin 的阴谋可能会让真正的用户自掏腰包
尽管像 GitHub 这样的提供商使用了许多策略——包括越来越复杂的验证码表格和要求信用卡信息——来对抗这样的攻击, 这支队伍被认为特别老练.
据研究人员称,每个免费的 GitHub 帐户每月要花费平台所有者微软 15 美元,而 Heroku 和 Buddy 的免费帐户则要花费大约 10 美元。
“按照这样的速度,它会 供应商花费超过 100,000 美元让威胁行为者开采一个门罗币 (XMR),”专家告诉 The Register。
不幸的是,对于合法的云服务用户来说,这些成本可能会被 GitHub 等人转嫁给他们。 以弥补他们最后的不足。 非法采矿作业也可能占用资源,从而降低向付费客户提供的性能。
来源:https://protos.com/stealthy-crypto-miners-loot-altcoins-with-github-trial-accounts/