本文针对持续集成（CI）服务平台上日益猖獗的非法加密货币挖矿行为（称为 Cijacking）进行了系统研究。与以往浏览器端挖矿劫持不同，Cijacking 将挖矿活动伪装成正常的 CI 作业，如容器镜像构建和测试，使得检测更加困难。研究者通过分析攻击者必须指定的关键挖矿信息（如钱包地址和矿池域名），从 GitHub 仓库和 CI 平台日志中恢复了攻击痕迹，共发现 1,974 个 Cijacking 实例，涉及 12 种不同加密货币、30 个攻击活动，波及 11 个主流 CI 平台。研究还揭示了攻击策略随平台防护措施演化的过程、挖矿作业的持续时间（长达 33 个月）及其生命周期，并估算出攻击者每月收益超过 2 万美元。为应对这一威胁，作者提出了一种名为 Cijitter 的创新防御技术，通过在 CI 工作流执行中策略性地注入延迟，不成比例地惩罚需要在时间约束下完成一系列任务的挖矿作业。实验评估表明，Cijitter 能显著压缩矿工收益至无利可图，同时对正常 CI 作业性能影响极小（94.3% 的 CI 作业延迟增加低于 10%）。该研究为 DevSecOps 社区提供了重要的威胁情报和实用缓解方案。