En mystisk automatiserad kryptogruvdrift har fångats med mer än 30 gratis GitHub-konton för att producera en rad obskyra tokens i en misstänkt torrkörning innan den riktar sin uppmärksamhet mot mer välkända valutor.
Enligt en rapport från The Register har verksamheten, kallad Purpleurchin, använt GitHub-kontona tillsammans med mer än 2,000 900 Heroku- och XNUMX Buddy-devops-konton för att driva sina gruvarbeten.
Taktiken kallas "freejacking" och innebär att ta över den datorkraft som allokerats för gratis testkonton på kontinuerliga integrations- och distributionsplattformar (CI/CD).
Forskare säga att det ansvariga laget har hittills bara utvunnit en handfull föga kända tokens, inklusive Sugarchain, Tidecoin Onyx, Yenten, Sprint och Bitweb, och som sådan kommer endast att ha sett mycket låga vinstmarginaler.
Det misstänks dock att de bara värmer upp och använder det relativt småskaliga schemat som en rökridå för något mycket mer lukrativt – möjligen till och med en attack på den underliggande blockkedjan som i teorin skulle kunna tjäna miljoner i bitcoin eller monero.
"Vi kan säga det med ett medelstort självförtroende skådespelaren har experimenterat med olika mynt", sa forskare till The Register (vår betoning).
"Denna storskaliga operation kan vara ett lockbete för andra skändliga aktiviteter."
Läs mer: Denna Bitcoin Core-uppdatering kommer att skydda fullständiga nodoperatörer från hack
Purpleurchins intrig kan lämna riktiga användare ur fickan
Trots att leverantörer som GitHub använder ett antal taktiker – inklusive allt mer komplicerade CAPTCHA-formulär och kräver kreditkortsinformation – för att bekämpa attacker som dessa, detta team anses vara särskilt sofistikerat.
Enligt forskare kostar vart och ett av de kostnadsfria GitHub-kontona plattformens ägare, Microsoft, $15 per månad, medan gratiskontona från Heroku och Buddy kostar runt $10.
"Med de här priserna skulle det göra det kostade en leverantör mer än $100,000 XNUMX för en hotaktör att bryta en monero (XMR), säger experter till The Register.
Tyvärr, för legitima molntjänstanvändare, kommer dessa kostnader sannolikt att överföras på dem av GitHub et al. för att täcka underskottet i slutet. Olaglig gruvdrift kan också ta resurser i anspråk som minskar de prestationer som betalande kunder får.
För mer informerade nyheter, följ oss vidare Twitter och Google Nyheter eller lyssna på vår undersökande podcast Innoverat: Blockchain City.
Källa: https://protos.com/stealthy-crypto-miners-loot-altcoins-with-github-trial-accounts/