GitLab продолжает препятствовать майнингу криптовалют на своих серверах. После ограничений на бесплатное использование сервисов непрерывной интеграции репозиторий начнет требовать данные банковской карты для доступа.
Нет карты – нет услуг
С 17 мая 2021 года все новые пользователи GitLab должны привязать банковскую карту к своему аккаунту, чтобы получить 400 бесплатных минут для работы с конвейером и доступ к общим раннерам CI/CD. Такие правила установлены, чтобы предотвратить использование инструментария непрерывной интеграции, доставки и развертывания для добычи криптовалюты.
Из-за майнеров GitLab регулярно сталкивается с увеличением стоимости обслуживания серверов, а пользователи сервиса страдают от периодических проблем с производительностью. Чтобы решать дополнительные технические трудности, команде инженеров репозитория приходится работать в круглосуточном режиме.
Изменение условий использования CI/CD не затрагивает пользователей, которые уже зарегистрированы на ИТ-хостинге. Представители GitLab сообщили, что продолжают отслеживать ситуацию с нецелым использованием серверов компании. Для учетных записей, в которых заметят подозрительную активность, будет отключен доступ к SaaS репозитория.
Криптовалютная агрессия
Прошлой весной GitLab ввел ограничение на бесплатное использование сервисов непрерывной интеграции из-за майнинга. После очередного резкого роста курса криптовалюты зимой этого года проблемы из-за добычи цифровых токенов возникли и у других репозиториев.
В апреле 2021 представители GitHub рассказали, что начали расследование злоупотреблений при использовании инфраструктуры GitHub Actions – системы для автоматизации выполнения пользовательских процессов после определенных событий, например, запроса на слияние. Специалист по информационной безопасности Джастин Пердок обнаружил, что эта функция позволяет добывать криптовалюту на виртуальных машинах на сервере GitHub, отправляя Pull Request в определенные репозитории с вредоносным кодом.
CI-платформы также страдают от действий майнеров. Кроме GitLab, с проблемой столкнулись LayerCI, TravisCI, Shippable. Кроме непосредственно майнинга через инструменты непрерывной интеграции, злоумышленники могут использовать и более хитрые приемы, такие как автоматизацию браузера с последующим посещением сайтов, где установлен скрипт на добычу криптовалюты. Подобные действия могут приносить майнеру до 100-200 долларов ежемесячно.
Из-за возрастания нагрузки на сервера, сложности обнаружения нецелевого использования ресурсов и масштабности атак многие сервисы вынуждены ограничивать доступ к бесплатным CI/CD инструментам. Например, Shippable уже анонсировал отключение free-тарифа в этом году.