IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    juin 2016
    Messages
    1 863
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 1 863
    Points : 40 680
    Points
    40 680
    Par défaut Les cryptomineurs abusent désormais des niveaux gratuits des offres des plateformes de Cloud Computing
    Les mineurs de cryptomonnaies tuent-ils les offres gratuites d'intégration continue ?
    Oui, selon Colin Chartier, cofondateur et PDG de LayerCI

    LayerCI, GitLab, TravisCI et Shippable sont quelques-unes de ces entreprises qui aident les développeurs à créer des applications et des sites Web complets en créant des environnements de prévisualisation par branche et en exécutant automatiquement des tests de bout en bout pour ceux-ci. C'est ce que l'on appelle l'IC (intégration continue). Cependant, le PDG de LayerCI, Colin Chartier, a déclaré récemment que les mineurs de cryptomonnaies s'attaquent à leurs infrastructures pour exécuter de manière illicite et abusive des logiciels de minages de cryptomonnaies, une situation qui les oblige à restreindre leurs offres gratuites d'IC/LC.

    Les mineurs de cryptomonnaies à l'assaut des plateformes d'IC/LC

    L'intégration continue est la pratique consistant à automatiser l'intégration des modifications du code provenant de plusieurs contributeurs dans un seul projet logiciel. Il s'agit d'une des principales pratiques DevOps, qui permet aux développeurs de fusionner fréquemment les modifications de code dans un dépôt central où les constructions et les tests sont ensuite exécutés. Des outils automatisés sont utilisés pour vérifier l'exactitude du nouveau code avant son intégration. Un système de contrôle de la version du code source constitue l'élément central du processus d'IC.

    Nom : jenkins-vulnerability-attack-768x665.png
Affichages : 8762
Taille : 146,8 Ko

    Le système de contrôle de version est également complété par d'autres contrôles tels que des tests automatisés de qualité du code, des outils de révision du style syntaxique, etc. L'IC permet d'augmenter les effectifs et le nombre de livraisons des équipes d'ingénieurs. Elle permet aux développeurs de logiciels de travailler indépendamment sur des fonctionnalités en parallèle. Lorsqu'ils sont prêts à intégrer ces fonctionnalités dans le produit final, ils peuvent le faire de manière indépendante et rapide. L'IC est une pratique précieuse et bien établie dans les organisations d'ingénierie logicielle modernes et performantes.

    Il existe de nombreux fournisseurs de plateformes d'IC/LI (intégration continue/livraison continue) sur le marché, dont GitHub, AutoRabit, LayerCI, GitLab, TravisCI, Shippable, etc., mais récemment, plusieurs d'entre eux ont commencé par signaler des abus observés sur leurs diverses offres gratuites. Selon le PDG de LayerCI, Colin Chartier, ces abus seraient causés par les mineurs de cryptomonnaies. Face à cela, des fournisseurs de plateforme d'IC/LI comme LayerCI, GitLab, TravisCI et Shippable sont tous en train de diminuer les composantes de leurs niveaux gratuits, voire de les fermer.

    « Comme les développeurs peuvent exécuter du code arbitraire sur nos serveurs, ils violent souvent nos conditions d'utilisation en exécutant des logiciels de minage de cryptomonnaies comme "étape de construction" de leurs sites Web », a déclaré Chartier dans un billet de blogue ce week-end. À titre d'exemple, il a mentionné "testronan", un supposé utilisateur de Flask sur GitHub. Selon ce que dit Chartier, toutes les heures, cet utilisateur fait un commit sur son seul dépôt GitHub nommé "testronan/MyFirstRepository-Flask". Il aurait réussi à faire environ 717 commits en un mois.

    Chartier explique dans son rapport que ce programmeur prolifique s'assure que ses contributions sont bien testées. En outre, son dépôt contient des configurations pour cinq fournisseurs d'IC différents : TravisCI, CircleCI, GitHub Actions, Wercker et LayerCI. Les tâches d'IC de "testronan" exécutent un fichier "listen.sh", un script Shell qui combine un script NodeJS "compliqué" avec des nombres apparemment aléatoires. Chartier a déclaré qu'après avoir longuement examiné MyFirstRepository-Flask, il a remarqué que le dépôt n'avait rien à voir avec le framework Flask ou les serveurs Web.

    Il hébergerait des scripts de minage de cryptomonnaies qui envoient des WebDollars à une adresse anonyme. Les chiffres correspondraient aux options d'installation de l'implémentation NodeJS de WebDollar. Notons que WebDollar est une monnaie numérique basée sur un navigateur. Ses principaux avantages sont que les WebDollars peuvent être minés dans votre navigateur et que vous pouvez transférer des fonds en stockant les portefeuilles localement, sans passer par des tiers. Chartier estime que le dépôt n'attaque pas directement GitHub, mais abuse de la fonction "cron" de GitHub Actions.

    Cela lui permet de créer un nouveau commit toutes les heures et miner des WebDollars sur quatre autres fournisseurs d'IC. Ainsi, le WebDollar s'échangeant à 0,0005 dollar ce mois, le dépôt devrait lui faire gagner 77 dollars. Chartier juge cette somme considérable dans de nombreux pays, d'autant que les seuls outils nécessaires sont un ordinateur portable et une connexion Internet. Pour illustrer davantage sa découverte, Chartier a mentionné dans son billet les adresses des deux portefeuilles numériques qui reçoivent les pièces minées "testronan".

    L'extraction de cryptomonnaies par le biais d'un navigateur headless

    Chartier a donné un deuxième exemple de ces abus, celui de l'utilisateur "vippro99". Selon le PDG, celui-ci serait moins subtil quant à ses intentions. Sur des dizaines de dépôts qu'il possède, la plupart seraient liés aux cryptomonnaies ou à l'automatisation des navigateurs. Un dépôt nommé "nodejs-monney" contiendrait divers scripts pour démarrer des instances de chrome avec le populaire projet "puppeteer" de Google. Les pages Web référencées contiendraient un mineur de la cryptomonnaie open source Monero, qui est axée sur la vie privée et la décentralisation.

    Nom : crypto.png
Affichages : 2563
Taille : 41,5 Ko

    Charter a déclaré que le dépôt de "vippro99" s'attaque actuellement à Shippable CI de JFrog, qui (peut-être en rapport) a annoncé la fin de son volet gratuit tôt cette année. Les commentaires de "vippro99" indiqueraient qu'il se trouve au Vietnam. D'après Charter, au prix actuel de Monero, chaque instance du mineur de cryptomonnaies de "vippro99" sur Shippable rapporte 2,5 USD par mois, de sorte que le maintien de seulement 60 instances simultanées équivaudrait à un emploi à temps plein dans ce pays. Par ailleurs, en septembre dernier, GitLab a annoncé que son offre d'IC gratuite était restreinte en réponse à ces abus.

    Deux mois plus tard, TravisCI a annoncé une restriction similaire en réponse à des "abus importants". Selon le billet de Charter, parallèlement à ces changements de prix, la capitalisation du marché des cryptomonnaies exploitables a explosé. Pour lui, il est clair qu'avec la capitalisation boursière des cryptomonnaies qui a bondi de 190 milliards de dollars en janvier 2020 à 2 000 milliards de dollars en avril 2021, il est devenu rentable pour les mauvais acteurs de s'attaquer à plein temps aux niveaux gratuits des fournisseurs de plateformes de services et de les utiliser comme plateforme de calcul.

    Il y a quelques semaines, les responsables de GitHub ont déclaré qu'ils mènent actuellement une enquête sur une série d'attaques sur leurs infrastructures cloud. Ces attaques auraient permis à des cybercriminels de pirater les serveurs de l'entreprise pour des opérations illicites de cryptominage. Le premier cas de cette attaque avait été signalé par un ingénieur logiciel en France en novembre 2020. Initié depuis l'automne 2020, ces attaques utilisent la fonctionnalité populaire de GitHub, GitHub Actions.

    GitHub Actions permet aux utilisateurs de lancer automatiquement des tâches à la suite d'un certain événement déclencheur au sein d'un de leurs dépôts GitHub. Pour réaliser cet exploit, les cybercriminels détournent un dépôt légitime en installant des GitHub Actions malveillantes sur le code original, puis en exécutant une Pull Request avec le dépôt original afin de fusionner le code maléfique et le code légitime. Dans le cadre de cette attaque, des chercheurs en sécurité ont rapporté que des cybercriminels pouvaient faire tourner jusqu'à 100 logiciels de minage de cryptomonnaies au cours d'une seule attaque.

    Ils créent ainsi d'énormes charges de calcul pour l'infrastructure de GitHub. Jusqu'à présent, ces cybercriminels semblent opérer au hasard et à grande échelle. Les recherches ont révélé qu'au moins un compte exécute des centaines de demandes de mise à jour contenant du code malveillant. À l'heure actuelle, les attaquants ne semblent pas du tout cibler activement les utilisateurs de GitHub, mais plutôt se concentrer sur l'utilisation de l'infrastructure cloud de GitHub pour héberger des activités de cryptominage.

    Selon Charter, au-delà de l'impact environnemental du minage traditionnel par preuve de travail, il existe des externalités dans de nombreux autres domaines, comme les pénuries mondiales de GPU et les attaques contre les niveaux gratuits des plateformes d'IC. « Les fournisseurs peuvent faire de leur mieux pour faire respecter les conditions de service, mais tant que ces attaques seront rentables et impossibles à tracer, elles continueront à devenir plus sophistiquées et à contourner les mesures. Le seul moyen à long terme de continuer à bénéficier de niveaux gratuits sur Heroku, Netlify et GitHub est de renoncer à la preuve de travail », a-t-il déclaré.

    Source : Colin Charter

    Et vous ?

    Quel est votre avis sur le sujet ?

    Voir aussi

    Des cybercriminels ont piraté les serveurs de GitHub pour le minage de cryptomonnaies, l'exploit pourrait faire tourner jusqu'à 100 mineurs de cryptomonnaies au cours d'une seule attaque

    68 % des organisations ont été confrontées au cryptominage malveillant au cours des neuf premiers mois de 2020, selon une étude de Cisco

    Google dévoile une faille de sécurité « grave » concernant la plateforme GitHub de Microsoft, aucun correctif n'est disponible pour le moment et les utilisateurs sont invités à faire des mises à jour

    IBM Cloud rend open source Razee, un outil de livraison continue multicluster pour Kubernetes

    La version 2020.2 de TeamCity, le serveur d'intégration continue de JetBrains, est disponible et intègre Bitbucket Cloud, Python, JetBrains Space et de nouvelles fonctionnalités d'administration
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Chroniqueur Actualités

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    1 490
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 1 490
    Points : 32 378
    Points
    32 378
    Par défaut Les cryptomineurs abusent désormais des niveaux gratuits des offres des plateformes de cloud computing
    Les cryptomineurs abusent désormais des niveaux gratuits des offres des plateformes de cloud computing,
    Des abus similaires également signalés chez d’autres services

    Si le coût de l'énergie est aujourd'hui la critique numéro un contre les mineurs de cryptomonnaies, un autre problème a vu le jour sur les plateformes de cloud computing, au cours des derniers mois. Des groupes de mineurs abusent des niveaux gratuits des plateformes de services cloud pour miner des cryptomonnaies. Cités auparavant dans l'attaque et le détournement de serveurs non patchés, plusieurs services d'intégration continue (CI) se plaignent maintenant de ces gangs, qui enregistrent des comptent gratuits sur leur plateforme avant de passer à de nouveaux comptes gratuits dans la limite des périodes d'essai.

    Bien que les cryptomonnaies n'existent que dans le monde numérique, une gigantesque opération physique appelée "minage" se déroule dans les coulisses. Les mineurs recherchent un numéro chanceux et, lorsqu'ils le trouvent, sont récompensés par des pièces numériques fraîchement frappées pour leur travail. L'opération de minage implique un réseau d'ordinateurs qui travaillent ensemble non seulement pour trouver ces numéros chanceux, mais aussi pour sécuriser le réseau. Maintenant, certains cryptomineurs sont passés à l'utilisation abusive des niveaux gratuits des plateformes de cloud computing.

    Nom : b01.jpg
Affichages : 12795
Taille : 60,1 Ko

    Les gangs opèrent en enregistrant des comptes sur certaines plateformes, en s'inscrivant à un niveau gratuit et en exécutant une application de minage de cryptomonnaies sur l'infrastructure du niveau gratuit du fournisseur. Après que les périodes d'essai ou les crédits gratuits ont atteint leurs limites, les groupes enregistrent un nouveau compte et recommencent la première étape, en maintenant les serveurs du fournisseur à leur limite d'utilisation supérieure et ralentissant leurs opérations normales.

    La liste des services qui ont fait l'objet d'abus de cette manière comprend des services tels que GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut et Okteto. Depuis quelques mois, des développeurs ont partagé leurs propres histoires sur des abus similaires qu'ils ont constatés sur d'autres plateformes, et certaines de ces entreprises se sont manifestées pour partager des expériences similaires d'abus. The Record de la société de cybersécurité Recorded Future a suivi le développement de ce phénomène et a publié un rapport.

    La plupart de cette utilisation abusive concerne les entreprises qui fournissent des services d'intégration continue (CI). L'intégration continue est la pratique consistant à automatiser l'intégration des modifications du code provenant de plusieurs contributeurs dans un seul projet logiciel. Il s'agit d'une des principales pratiques DevOps, qui permet aux développeurs de fusionner fréquemment les modifications de code dans un dépôt central où les constructions et les tests sont ensuite exécutés.

    Des outils automatisés sont utilisés pour vérifier l'exactitude du nouveau code avant son intégration. Un système de contrôle de la version du code source constitue l'élément central du processus de CI. Le système de contrôle de version est également complété par d'autres contrôles tels que des tests automatisés de qualité du code, des outils de révision du style syntaxique, etc. En pratique, la CI hébergée dans le cloud s'effectue en créant une nouvelle machine virtuelle qui exécute le processus de construction, de conditionnement et de test, puis transmet le résultat à l'administrateur d'un projet.

    Les gangs de mineurs de cryptomonnaies ont compris qu'ils pouvaient abuser de ce processus pour ajouter leur propre code et faire en sorte que cette machine virtuelle CI effectue des opérations de minage de cryptomonnaies afin de générer de petits profits pour l'attaquant avant que la durée de vie limitée de la VM n'expire et que la machine virtuelle ne soit arrêtée par le fournisseur de Cloud.

    C'est ainsi que les gangs de mineurs de cryptomonnaies ont abusé de la fonction Actions de GitHub, qui offre une fonction d'infrastructure virtuelle aux utilisateurs de GitHub, pour exploiter le site et miner des cryptomonnaies avec les propres serveurs de GitHub.

    « En plus des augmentations de coûts, l'abus crée des problèmes de performances intermittents pour les utilisateurs de GitLab.com et oblige nos équipes à travailler 24/7 pour maintenir des services optimaux pour nos clients et utilisateurs », a déclaré GitLab la semaine dernière. Fatigué de lutter contre ce phénomène, GitLab a choisi d'exiger un numéro de carte de crédit ou de débit qu'il vérifiera à l'aide d'une transaction d'autorisation d'un dollar (et n'effectuera pas de débit). « Nous ne résoudrons jamais complètement les abus sur les plateformes », a déclaré l'entreprise, « mais plus nous mettons de barrières, plus il devient difficile et coûteux de se livrer à des abus ».

    La réaction d’autres plateformes de services d'intégration continue

    GitHub et GitLab ne sont pas les seuls fournisseurs de CI à avoir été confronté à cet abus. Microsoft Azure, LayerCI, Sourcehut, CodeShip et bien d’autres plateformes ont lutté avec cette activité, selon le rapport.

    « Notre équipe a été submergée par le traitement de ce genre de choses », a déclaré un ingénieur de CodeShip. « Et il ne s'agit pas seulement des comptes gratuits. Parfois, ils paient les petits frais pour nos comptes, qui sont bien moins chers que la location sur AWS directement, et minent des cryptomonnaies à la capacité maximale ».

    Sourcehut, qui malgré le fait d'être un fournisseur de CI plutôt petit et de niche, a également signalé des abus similaires de son volet gratuit. « Des utilisateurs malveillants ont délibérément soumis un nombre énorme de travaux sous des dizaines de comptes fréquemment enregistrés et ont délibérément contourné notre détection des abus pour utiliser autant de nos ressources que possible pour miner des cryptomonnaies », a déclaré Sourcehut dans un billet de blog. « Cela épuise nos ressources et entraîne de longues files d'attente de build pour les utilisateurs normaux ».

    Microsoft, qui fournit également des services de CI via sa fonctionnalité Azure Pipelines, a aussi été confronté à des abus similaires l'année dernière. Cependant, l'entreprise ne voulait pas faire face à tous ces maux de tête, dont la plupart provenaient des concessions gratuites qu'elle accordait à la communauté open source. Au lieu de cela, à partir de février, la société a retiré la possibilité pour les projets open source de recevoir des subventions gratuites pour exécuter des pipelines CI et a demandé aux utilisateurs gratuits d'utiliser GitHub Actions à la place, où le personnel de GitHub investit davantage dans la détection des abus.

    Une société comme GitLab, en raison de sa taille plus importante, peut encore se permettre de maintenir son offre de CI gratuite pour ses utilisateurs en trouvant d’autres moyens d’empêcher l’utilisation abusive par les cryptomineurs. Mais, d'autres petits fournisseurs de CI ne le peuvent pas. Mardi dernier, dans leurs décisions pour protéger leurs clients payants qui voyaient une dégradation du service, Sourcehut et TravisCI ont tous deux déclaré qu'ils prévoyaient de cesser d'offrir leurs niveaux de CI gratuits en raison des abus constants.

    Autres entreprises, non-fournisseurs des services CI, victimes d'abus similaires

    Ce ne sont pas seulement les fournisseurs de CI qui ont vu ces attaques sur leurs plateformes. Des abus similaires ont également été signalés chez le service de création de sites Web Render et chez le service d'hébergement de clusters Kubernetes Okteto, dont le PDG, Ramiro Berrelleza, a même donné une conférence rapide sur le sujet lors de la conférence eBPF de l'année dernière.


    Le rapport de Record mentionne même de nombreux tutoriels sur certains forums de cryptomonnaies qui expliquent en détail comment quelqu'un peut abuser de la période d'essai gratuite d'Oracle Cloud ou des niveaux bon marché d'Alibaba Cloud pour créer un serveur temporaire de minage de cryptomonnaies pour de petits profits ponctuels.

    Mais si, pour les fournisseurs de services, révoquer les offres de niveau gratuit peut être un moyen de limiter les abus qu'ils constatent, ce n'est pas la solution optimale pour les développeurs solitaires qui utilisent ces offres pour leurs projets open source. Une solution alternative, telle que proposée par Berrelleza, consisterait à déployer des systèmes automatisés qui détectent et répondent à ces abus. Cependant, la création de tels systèmes nécessite des ressources que certaines entreprises ne sont pas en mesure d'allouer, et ne garantit pas non plus que ces systèmes fonctionnent comme prévu.

    Source : Recoded Future

    Et vous ?

    Qu’en pensez-vous ?
    Que pensez-vous de la solution qui consiste à révoquer les offres de niveau gratuit ?
    Quelles solutions proposeriez-vous à certaines entreprises qui ne peuvent pas déployer de grands moyens pour juguler ce problème ?

    Voir aussi :

    GitLab : Les mineurs de cryptomonnaies font s'écrouler les performances des utilisateurs légitimes, les nouvelles mesures de préventions seront-elles efficaces ?
    Les mineurs de cryptomonnaies tuent-ils les offres gratuites d'intégration continue ? Oui, selon Colin Chartier, cofondateur et PDG de LayerCI
    Des cybercriminels ont piraté les serveurs de GitHub pour le minage de cryptomonnaies, l'exploit pourrait faire tourner jusqu'à 100 mineurs de cryptomonnaies au cours d'une seule attaque
    68 % des organisations ont été confrontées au cryptominage malveillant au cours des neuf premiers mois de 2020, selon une étude de Cisco
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

Discussions similaires

  1. Réponses: 16
    Dernier message: 13/03/2020, 15h41
  2. Les développeurs abusent-ils des scripts ?
    Par Olivier Famien dans le forum Langages de programmation
    Réponses: 23
    Dernier message: 07/12/2015, 17h32
  3. Réponses: 21
    Dernier message: 04/01/2013, 12h09
  4. Réponses: 21
    Dernier message: 04/01/2013, 12h09

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo