Les mineurs de cryptomonnaies tuent-ils les offres gratuites d'intégration continue ?Oui, selon Colin Chartier, cofondateur et PDG de LayerCI
LayerCI, GitLab, TravisCI et Shippable sont quelques-unes de ces entreprises qui aident les développeurs à créer des applications et des sites Web complets en créant des environnements de prévisualisation par branche et en exécutant automatiquement des tests de bout en bout pour ceux-ci. C'est ce que l'on appelle l'IC (intégration continue). Cependant, le PDG de LayerCI, Colin Chartier, a déclaré récemment que les mineurs de cryptomonnaies s'attaquent à leurs infrastructures pour exécuter de manière illicite et abusive des logiciels de minages de cryptomonnaies, une situation qui les oblige à restreindre leurs offres gratuites d'IC/LC.
Les mineurs de cryptomonnaies à l'assaut des plateformes d'IC/LC
L'intégration continue est la pratique consistant à automatiser l'intégration des modifications du code provenant de plusieurs contributeurs dans un seul projet logiciel. Il s'agit d'une des principales pratiques DevOps, qui permet aux développeurs de fusionner fréquemment les modifications de code dans un dépôt central où les constructions et les tests sont ensuite exécutés. Des outils automatisés sont utilisés pour vérifier l'exactitude du nouveau code avant son intégration. Un système de contrôle de la version du code source constitue l'élément central du processus d'IC.
Le système de contrôle de version est également complété par d'autres contrôles tels que des tests automatisés de qualité du code, des outils de révision du style syntaxique, etc. L'IC permet d'augmenter les effectifs et le nombre de livraisons des équipes d'ingénieurs. Elle permet aux développeurs de logiciels de travailler indépendamment sur des fonctionnalités en parallèle. Lorsqu'ils sont prêts à intégrer ces fonctionnalités dans le produit final, ils peuvent le faire de manière indépendante et rapide. L'IC est une pratique précieuse et bien établie dans les organisations d'ingénierie logicielle modernes et performantes.
Il existe de nombreux fournisseurs de plateformes d'IC/LI (intégration continue/livraison continue) sur le marché, dont GitHub, AutoRabit, LayerCI, GitLab, TravisCI, Shippable, etc., mais récemment, plusieurs d'entre eux ont commencé par signaler des abus observés sur leurs diverses offres gratuites. Selon le PDG de LayerCI, Colin Chartier, ces abus seraient causés par les mineurs de cryptomonnaies. Face à cela, des fournisseurs de plateforme d'IC/LI comme LayerCI, GitLab, TravisCI et Shippable sont tous en train de diminuer les composantes de leurs niveaux gratuits, voire de les fermer.
« Comme les développeurs peuvent exécuter du code arbitraire sur nos serveurs, ils violent souvent nos conditions d'utilisation en exécutant des logiciels de minage de cryptomonnaies comme "étape de construction" de leurs sites Web », a déclaré Chartier dans un billet de blogue ce week-end. À titre d'exemple, il a mentionné "testronan", un supposé utilisateur de Flask sur GitHub. Selon ce que dit Chartier, toutes les heures, cet utilisateur fait un commit sur son seul dépôt GitHub nommé "testronan/MyFirstRepository-Flask". Il aurait réussi à faire environ 717 commits en un mois.
Chartier explique dans son rapport que ce programmeur prolifique s'assure que ses contributions sont bien testées. En outre, son dépôt contient des configurations pour cinq fournisseurs d'IC différents : TravisCI, CircleCI, GitHub Actions, Wercker et LayerCI. Les tâches d'IC de "testronan" exécutent un fichier "listen.sh", un script Shell qui combine un script NodeJS "compliqué" avec des nombres apparemment aléatoires. Chartier a déclaré qu'après avoir longuement examiné MyFirstRepository-Flask, il a remarqué que le dépôt n'avait rien à voir avec le framework Flask ou les serveurs Web.
Il hébergerait des scripts de minage de cryptomonnaies qui envoient des WebDollars à une adresse anonyme. Les chiffres correspondraient aux options d'installation de l'implémentation NodeJS de WebDollar. Notons que WebDollar est une monnaie numérique basée sur un navigateur. Ses principaux avantages sont que les WebDollars peuvent être minés dans votre navigateur et que vous pouvez transférer des fonds en stockant les portefeuilles localement, sans passer par des tiers. Chartier estime que le dépôt n'attaque pas directement GitHub, mais abuse de la fonction "cron" de GitHub Actions.
Cela lui permet de créer un nouveau commit toutes les heures et miner des WebDollars sur quatre autres fournisseurs d'IC. Ainsi, le WebDollar s'échangeant à 0,0005 dollar ce mois, le dépôt devrait lui faire gagner 77 dollars. Chartier juge cette somme considérable dans de nombreux pays, d'autant que les seuls outils nécessaires sont un ordinateur portable et une connexion Internet. Pour illustrer davantage sa découverte, Chartier a mentionné dans son billet les adresses des deux portefeuilles numériques qui reçoivent les pièces minées "testronan".
L'extraction de cryptomonnaies par le biais d'un navigateur headless
Chartier a donné un deuxième exemple de ces abus, celui de l'utilisateur "vippro99". Selon le PDG, celui-ci serait moins subtil quant à ses intentions. Sur des dizaines de dépôts qu'il possède, la plupart seraient liés aux cryptomonnaies ou à l'automatisation des navigateurs. Un dépôt nommé "nodejs-monney" contiendrait divers scripts pour démarrer des instances de chrome avec le populaire projet "puppeteer" de Google. Les pages Web référencées contiendraient un mineur de la cryptomonnaie open source Monero, qui est axée sur la vie privée et la décentralisation.
Charter a déclaré que le dépôt de "vippro99" s'attaque actuellement à Shippable CI de JFrog, qui (peut-être en rapport) a annoncé la fin de son volet gratuit tôt cette année. Les commentaires de "vippro99" indiqueraient qu'il se trouve au Vietnam. D'après Charter, au prix actuel de Monero, chaque instance du mineur de cryptomonnaies de "vippro99" sur Shippable rapporte 2,5 USD par mois, de sorte que le maintien de seulement 60 instances simultanées équivaudrait à un emploi à temps plein dans ce pays. Par ailleurs, en septembre dernier, GitLab a annoncé que son offre d'IC gratuite était restreinte en réponse à ces abus.
Deux mois plus tard, TravisCI a annoncé une restriction similaire en réponse à des "abus importants". Selon le billet de Charter, parallèlement à ces changements de prix, la capitalisation du marché des cryptomonnaies exploitables a explosé. Pour lui, il est clair qu'avec la capitalisation boursière des cryptomonnaies qui a bondi de 190 milliards de dollars en janvier 2020 à 2 000 milliards de dollars en avril 2021, il est devenu rentable pour les mauvais acteurs de s'attaquer à plein temps aux niveaux gratuits des fournisseurs de plateformes de services et de les utiliser comme plateforme de calcul.
Il y a quelques semaines, les responsables de GitHub ont déclaré qu'ils mènent actuellement une enquête sur une série d'attaques sur leurs infrastructures cloud. Ces attaques auraient permis à des cybercriminels de pirater les serveurs de l'entreprise pour des opérations illicites de cryptominage. Le premier cas de cette attaque avait été signalé par un ingénieur logiciel en France en novembre 2020. Initié depuis l'automne 2...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.