En los últimos meses, algunos de los grupos de ciberdelincuentes dedicados a la minería de criptomonedas han optado por dejar de secuestrar servidores no parcheados, prefiriendo basar estas operaciones de cryptojacking en el abuso malintencionado de las herramientas gratuitas de plataformas como GitHub y GitLab.
De este modo, una vez que su actividad supera las limitaciones gratuitas de sus cuentas de usuario, las abandonan para crear otras nuevas y volver a empezar, sobrecargando así los servidores de dichas plataformas y afectando al rendimiento experimentado por sus usuarios legítimos. Y todo esto, 'por la cara'.
Los 'servicios de integración continua' (como el popular GitHub Actions), que ejecutan automáticamente en máquinas virtuales pruebas unitarias para validar los cambios realizados en el código (y así identificar inmediatamente cualquier error), se han convertido en uno de sus objetivos favoritos.
La cuestión es que estos grupos han descubierto que resulta posible abusar de este proceso para forzar a la máquina virtual en cuestión a realizar operaciones de minería que se traducen en pequeñas ganancias para el atacante antes de que expire la vida útil de aquella.
Que se sepa, en la lista de servicios que han sido víctima de esta clase de abusos se incluyen los provistos por GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut y Okteto.
Sin ir más lejos, este problema forzó a Microsoft Azure a comunicar en febrero a sus usuarios que revocaba el acceso gratuito de los proyectos open source a su servicio Pipelines.
La decisión de GitLab
Ahora, hartos de estar lidiando también 'cada dos por tres' con los problemas de rendimiento causados por esta —y otra clase— de abusadores de su infraestructura, la plataforma GitLab ha terminado optando esta semana por requerir un número de tarjeta (de crédito o débito) a todos sus nuevos usuarios de 'runners compartidos'.
No se trata de que vayan a empezar a cobrar por este servicio, ni mucho menos: el objetivo es poder verificar el número —y, con él, la identidad del usuario— mediante la autorización de una transacción de un dólar que no llegará a realizarse:
"Nunca resolveremos completamente los abusos contra la plataforma, pero cuantas más barreras pongamos, más difícil y costoso será participar en el abuso".
De hecho, el ejemplo de CodeShip muestra que eso no va a ser la solución definitiva: uno de sus ingenieros relataba hace poco que su único problema no radicaba en las cuentas gratuitas, pues a veces "pagan pequeñas tarifas por nuestras cuentas", mucho más económicas que recurrir a AWS, "y extraen criptomonedas a su máxima capacidad".
En cualquier caso, otros servicios más pequeños no pueden conformarse con añadir un nuevo obstáculo a los abusadores de su infraestructura: tanto Sourcehut como TravisCI ya han anunciado el cierre de sus 'tiers' gratuitos como única forma de lidiar con este problema.
Comments