A exploração ilegal de criptomoedas forçou o GitLab a restringir o acesso a um de seus serviços grátis. O problema começou há alguns meses quando grupos cibercriminosos dedicados à mineração de criptomoedas optaram por parar o sequestro de servidores não corrigidos, preferindo basear essas operações de criptojacking no abuso malicioso de ferramentas gratuitas de plataformas como GitHub e GitLab.
Desta forma, uma vez que sua atividade ultrapassa as limitações livres de suas contas de usuário, eles as abandonam para criar novas e reiniciá-las, sobrecarregando os servidores dessas plataformas e afetando o desempenho de seus usuários legítimos. E tudo isso, ‘pela cara’.
‘Serviços de integração contínua‘ (como as populares Actions do GitHub), que executam testes de unidade automaticamente em máquinas virtuais para validar as alterações feitas no código (e assim identificar imediatamente quaisquer bugs), tornaram-se um de seus alvos favoritos.
A questão é que esses grupos descobriram que é possível abusar desse processo para forçar a máquina virtual em questão a realizar operações de mineração que se traduzem em pequenos lucros para o invasor antes que sua vida útil expire.
GitLab é forçado a restringir acesso a um de seus serviços grátis devido à exploração ilegal de criptomoedas
Pelo que se sabe, a lista de serviços que foram vítimas desse tipo de abuso inclui aqueles fornecidos por GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut e Okteto.
Esse problema forçou o Microsoft Azure a comunicar aos seus usuários em fevereiro que estava revogando o acesso gratuito de projetos de código aberto ao seu serviço Pipelines.
Decisão do GitLab
Agora, cansada de lidar também com os problemas de desempenho causados ??por este – e outra classe – de abusadores de sua infraestrutura, a plataforma GitLab acabou optando esta semana por exigir um número de cartão (cartões de crédito ou débito) para todos os novos usuários de ‘runners compartilhados’.
Não é que vão começar a cobrar por esse serviço. O objetivo é poder verificar o número – e, com ele, a identidade do usuário – autorizando uma transação de um dólar que não será cobrado efetivamente.
Alguns usuários relatam que os cibercriminosos não terão muitos problemas para comprar dados dos cartões de crédito de outras pessoas.
Na verdade, o exemplo da CodeShip mostra que essa não vai ser a solução definitiva: um de seus engenheiros relatou recentemente que seu único problema não era com as contas gratuitas, pois às vezes “pagam pequenas taxas pelas nossas contas” , muito mais eles precisam recorrer à AWS, “e extraem criptomoedas até sua capacidade máxima”.
Em todo caso, outros serviços menores não podem se contentar em adicionar um novo obstáculo aos abusadores de sua infraestrutura: tanto a Sourcehut quanto a TravisCI já anunciaram o encerramento de suas camadas gratuitas como a única maneira de lidar com esse problema.
Via Genbeta