Mae gweithrediad mwyngloddio crypto awtomataidd dirgel wedi'i ddal gan ddefnyddio mwy na 30 o gyfrifon GitHub am ddim i gynhyrchu llu o docynnau aneglur mewn rhediad sych a amheuir cyn iddo droi ei sylw at arian cyfred mwy adnabyddus.
Yn ôl adrodd o'r Gofrestr, mae'r gweithrediad, a elwir yn Purpleurchin, wedi bod yn defnyddio cyfrifon GitHub, ochr yn ochr â mwy na 2,000 o gyfrifon devops Heroku a 900 o Buddy i bweru ei ymdrechion mwyngloddio.
Gelwir y dacteg yn “freejacking,” ac mae'n golygu cymryd drosodd y pŵer cyfrifiadurol a ddyrennir ar gyfer cyfrifon treial am ddim ar lwyfannau gwasanaeth integreiddio a defnyddio parhaus (CI/CD).
Ymchwilwyr dywedwch fod gan y tîm cyfrifol hyd yn hyn yn unig cloddio llond llaw o docynnau anhysbys, gan gynnwys Sugarchain, Tidecoin Onyx, Yenten, Sprint, a Bitweb, ac o'r herwydd dim ond elw isel iawn y bydd wedi'i weld.
Fodd bynnag, amheuir eu bod yn cynhesu ac yn defnyddio'r cynllun ar raddfa gymharol fach fel sgrin fwg ar gyfer rhywbeth llawer mwy proffidiol - o bosibl hyd yn oed ymosodiad ar y blockchain sylfaenol a allai, mewn theori, rwydo miliynau mewn bitcoin neu monero.
“Gallwn ddweud hynny gyda chryn hyder mae'r actor wedi bod yn arbrofi gyda darnau arian gwahanol,” meddai ymchwilwyr wrth The Register (ein pwyslais).
“Gallai’r ymgyrch fawr hon fod yn adfail ar gyfer gweithgareddau ysgeler eraill.”
Darllenwch fwy: Bydd y diweddariad Bitcoin Core hwn yn amddiffyn gweithredwyr nod llawn rhag haciau
Gallai plot Purpleurchin adael defnyddwyr go iawn ar eu colled
Er bod darparwyr fel GitHub yn defnyddio nifer o dactegau - gan gynnwys ffurflenni CAPTCHA cynyddol gymhleth a bod angen gwybodaeth cerdyn credyd arnynt - i frwydro yn erbyn ymosodiadau fel y rhain, credir bod y tîm hwn yn arbennig o soffistigedig.
Yn ôl ymchwilwyr, mae pob un o'r cyfrifon GitHub rhad ac am ddim yn costio $15 y mis i berchennog y platfform, Microsoft, gyda'r cyfrifon am ddim gan Heroku a Buddy yn costio tua $10.
“Ar y cyfraddau hyn, fe fyddai costio mwy na $100,000 i ddarparwr i actor bygythiad gloddio un monero (XMR)," meddai arbenigwyr wrth y Gofrestr.
Yn anffodus, ar gyfer defnyddwyr gwasanaeth cwmwl cyfreithlon, mae'n debygol y bydd y costau hyn yn cael eu trosglwyddo iddynt gan GitHub et al. i dalu am y diffyg ar eu diwedd. Gallai gweithrediadau mwyngloddio anghyfreithlon hefyd ddefnyddio adnoddau sy'n lleihau'r perfformiad a roddir i gwsmeriaid sy'n talu.
Am newyddion mwy gwybodus, dilynwch ni ymlaen Twitter ac Google News neu gwrandewch ar ein podlediad ymchwiliol Wedi'i arloesi: Blockchain City.
Ffynhonnell: https://protos.com/stealthy-crypto-miners-loot-altcoins-with-github-trial-accounts/