加密货币挖掘正在扼杀CI免费服务

由于加密货币挖矿攻击，layERCi、gitlab、travisici和shippable等Ci提供商正在收紧或关闭其免费服务。

2020年9月，gitlab宣布将限制免费CI产品；两个月后，特拉维西宣布了对“严重虐待”的类似限制。为什么这些CIMaker限制免费CI产品的使用？

我们发现这些变化与数字加密货币市场价值的急剧增长有关。随着加密货币市值从2021年1月的1900亿美元飙升至2021年4月的2万亿美元，一些试图从可挖矿加密货币中获利的无良开发者将目光转向了平台提供商的免费CI服务。

加密货币市值飙升

加密货币矿工如何在layERCi平台上“收集羊毛”？

在layERCi平台上，开发人员可以通过为每个分支创建预览环境并自动运行端到端测试来构建一个完整的堆栈网站。过去，开发人员可以在layERCi的服务器上运行任意代码，因此人们经常违反layERCi的服务条款来挖矿加密货币。

用户名为“testronan”的开发者是flame的热心用户。他们几乎每小时提交一次GitHub存储库：testronan/myfirstrepository。高效的程序员通常确保他们的代码能够得到良好的测试，因此我们发现他的存储库包含五种不同的CI服务：travisici、circleci、GitHub actions、wERCker和layERCi。

仔细观察他的ci任务后，我们发现这些ci任务似乎运行shell脚本，但实际上它们运行的是“listen”。一个shell脚本，它将复杂的node脚本与一些看似随机的数字结合起来

我们发现myfirstrepository标志与标志或web服务器无关。它是一个加密货币挖矿脚本，用于将webdollars发送到匿名地址。这些数字对应于webdollar的node实现的安装选项。

存储库没有直接攻击GitHub，而是滥用GitHub action的“cron”功能，每小时创建一个新的提交，并在其他四个CI提供者上挖矿webdollars。

接收这些硬币的两个钱包地址是：

https://www.webdscan.io/address/WEBD%24gBJhmuwat3kvP2@ %232E4K2zXX967grh9L43%24

https://www.webdscan.io/address/WEBD%24gCszFRxzuMDbyNXnCXszoB2aIMSuV9kgbb%24

浏览器自动化挖矿

“Vippro99”开发者没有“testronan”聪明。几乎所有的存储库都与加密货币或浏览器自动化有关。

node monney存储库包含各种脚本，可以通过Google流行的puppeter项目来启动chrome实例。他的逻辑很简单。如果直接在CI中挖矿加密货币，很容易被发现，而浏览器自动化是CI中常见的功能，只是用来掩盖。

据报道，该帐户目前正在攻击jfrog的可发货CI服务。我们在shippable的官方网站上看到这样一个通知：“您的shippable服务将于2021年5月3日到期。”我们不知道这个决定是否与加密货币挖矿有关。

“vippro99”提供的信息显示，他们在越南。按照monero目前的价格，每个shippable上的cryptocurrency miner实例每月可获得2.50美元，只需维护60个并发实例，相当于该国的全职工资。

加密货币和CI服务提供商如何应对“fleece collection”？

加密货币和CI服务提供商如何应对上述“羊毛收集”操作？

最近，以太坊宣布，它计划完全禁止基于计算的挖矿，以获得新的以太坊，并转向证明堆栈（POS）验证模。

CI服务提供商的解决方案是收紧或关闭免费服务。从2020年10月1日起，gitlab.com免费层每个**组（或个人命名空间）的CI/CD使用时间将减少到每月400分钟，超出部分按每1000分钟10美元的价格收费，开发者可自行升级到付费基础级；自2020年11月1日起，travisici重新制定了定价规则。对于具有1、2或5个并发计划的生成，定价保持不变。根据MacOS建设者的需要购买额外的组件。同时，还发布了基于使用量的新定价规则。

参考链接：

https://layERCi.com/blog/crypto-miners-are-killing-free-ci/