黑客利用GitHub现成工具通过DevOps API发起加密货币挖矿攻击

网络安全研究人员发现,黑客正在利用公开暴露的DevOps网络服务器(如Docker、Gitea、HashiCorp Consul和Nomad相关服务)非法挖掘加密货币。云安全公司Wiz将此次攻击活动追踪为JINX-0132,指出攻击者利用多种已知配置错误和漏洞来投放挖矿程序。

研究人员Gili Tikochinski、Danielle Aminov和Merav Bar在报告中表示:"这可能是首个公开记录的利用Nomad配置错误作为攻击媒介的案例。"该攻击活动的特别之处在于,攻击者直接从GitHub仓库下载所需工具,而非使用自有基础设施。这种使用现成工具的做法被认为是有意混淆攻击溯源。

攻击手法与影响范围

JINX-0132已入侵管理数百个客户端的Nomad实例,这些实例的CPU和内存资源合计每月价值数万美元,充分显示了驱动加密货币挖矿活动所需的计算能力。

Docker API滥用是此类攻击的常见入口。卡巴斯基上周披露,威胁分子正针对配置错误的Docker API实例,将其纳入加密货币挖矿僵尸网络。暴露的Docker API实例使攻击者能够通过启动挂载主机文件系统的容器,或调用"/containers/create"等标准Docker端点来执行加密货币镜像。

攻击者还利用Gitea(一个轻量级Git仓库托管开源解决方案)的漏洞(如CVE-2020-14144)或配置错误获取初始访问权限。研究发现,公开暴露的Gitea实例若满足以下任一条件即存在远程代码执行风险:攻击者拥有可创建git钩子的用户权限、运行1.4.0版本,或安装页面未锁定(INSTALL_LOCK=false)。

全球暴露情况与攻击链分析

根据Shodan数据,全球有超过5300个暴露的Consul服务器和400多个暴露的Nomad服务器,主要集中在中国、美国、德国、新加坡、芬兰、荷兰和英国。

JINX-0132还利用公开暴露的Nomad服务器API配置错误,在被入侵主机上创建多个新任务以下载并执行XMRig挖矿程序。Wiz指出:"Nomad默认不安全的配置意味着,对服务器API的无限制访问等同于在服务器本身和所有连接节点上获得远程代码执行(RCE)能力。"

相关攻击:利用Open WebUI配置错误

与此同时,Sysdig披露了针对Linux和Windows的恶意软件活动,攻击者利用配置错误的Open WebUI系统上传AI生成的Python脚本,最终投放加密货币挖矿程序。安全研究人员Miguel Hernandez和Alessandra Rizzo表示:"互联网暴露使任何人都能在系统上执行命令,攻击者正积极扫描此类危险错误。"

在Windows系统上,攻击还会部署Java开发工具包(JDK)来执行从185.208.159.155下载的JAR文件("application-ref.jar")。攻击链最终执行"INT_D.DAT"和"INT_J.DAT"两个文件,后者专门窃取Google Chrome中安装的Discord和加密货币钱包扩展的凭证。

Sysdig表示,全球有超过17000个可通过互联网访问的Open WebUI实例,但实际存在配置错误或其他安全弱点的数量尚不明确。研究人员警告:"像Open WebUI这样的系统意外暴露在互联网上仍是严重问题,攻击者针对Linux和Windows系统的攻击中,Windows版本还包含复杂的信息窃取和规避技术。"

相关推荐
一池秋_5 分钟前
ubuntu(linux)完美复刻windows11字体,解决linux字体费眼晴
linux·运维·ubuntu
清晨曦月23 分钟前
【从零构建分布式在线评测系统】二、Judge0服务器上的心跳程序
运维·服务器·分布式
Starry-sky(jing)1 小时前
Win11 装 ESP32 Arduino 库卡 3 小时?我把官方 3.3.10 全平台 522MB 搬到了蓝奏云,解压即用
运维·windows·esp32·arduino·离线安装
小此方2 小时前
Re:Linux系统篇(四十二)通信篇·七:SystemV标准三部曲其之三:信号量与并发编程初步认识
linux·运维·驱动开发
画中有画9 小时前
使用yolov8实现自动化脚本
运维·yolo·自动化
Piko61411 小时前
H3C IRF2 堆叠实战:打造高可靠核心交换网络
运维·网络·笔记
万联WANFLOW14 小时前
SD-WAN 控制平面高可用怎么做?SDWAN 控制器挂了,全网会发生什么
运维·网络·分布式·架构
SkyWalking中文站16 小时前
认识 Horizon UI · AI Assistant:用日常语言查询你的可观测性数据
运维·监控·自动化运维
DogDaoDao17 小时前
ShellGPT:当大语言模型遇见命令行——深度解析一个 CLI AI 生产力工具的设计与实现
人工智能·语言模型·自然语言处理·github·大语言模型·shellgpt·终端命令行
崇山峻岭之间17 小时前
Keil5输出hex转换为bin的设置
linux·运维·服务器