网络安全研究人员发现,黑客正在利用公开暴露的DevOps网络服务器(如Docker、Gitea、HashiCorp Consul和Nomad相关服务)非法挖掘加密货币。云安全公司Wiz将此次攻击活动追踪为JINX-0132,指出攻击者利用多种已知配置错误和漏洞来投放挖矿程序。
研究人员Gili Tikochinski、Danielle Aminov和Merav Bar在报告中表示:"这可能是首个公开记录的利用Nomad配置错误作为攻击媒介的案例。"该攻击活动的特别之处在于,攻击者直接从GitHub仓库下载所需工具,而非使用自有基础设施。这种使用现成工具的做法被认为是有意混淆攻击溯源。
攻击手法与影响范围
JINX-0132已入侵管理数百个客户端的Nomad实例,这些实例的CPU和内存资源合计每月价值数万美元,充分显示了驱动加密货币挖矿活动所需的计算能力。
Docker API滥用是此类攻击的常见入口。卡巴斯基上周披露,威胁分子正针对配置错误的Docker API实例,将其纳入加密货币挖矿僵尸网络。暴露的Docker API实例使攻击者能够通过启动挂载主机文件系统的容器,或调用"/containers/create"等标准Docker端点来执行加密货币镜像。
攻击者还利用Gitea(一个轻量级Git仓库托管开源解决方案)的漏洞(如CVE-2020-14144)或配置错误获取初始访问权限。研究发现,公开暴露的Gitea实例若满足以下任一条件即存在远程代码执行风险:攻击者拥有可创建git钩子的用户权限、运行1.4.0版本,或安装页面未锁定(INSTALL_LOCK=false)。
全球暴露情况与攻击链分析
根据Shodan数据,全球有超过5300个暴露的Consul服务器和400多个暴露的Nomad服务器,主要集中在中国、美国、德国、新加坡、芬兰、荷兰和英国。
JINX-0132还利用公开暴露的Nomad服务器API配置错误,在被入侵主机上创建多个新任务以下载并执行XMRig挖矿程序。Wiz指出:"Nomad默认不安全的配置意味着,对服务器API的无限制访问等同于在服务器本身和所有连接节点上获得远程代码执行(RCE)能力。"
相关攻击:利用Open WebUI配置错误
与此同时,Sysdig披露了针对Linux和Windows的恶意软件活动,攻击者利用配置错误的Open WebUI系统上传AI生成的Python脚本,最终投放加密货币挖矿程序。安全研究人员Miguel Hernandez和Alessandra Rizzo表示:"互联网暴露使任何人都能在系统上执行命令,攻击者正积极扫描此类危险错误。"
在Windows系统上,攻击还会部署Java开发工具包(JDK)来执行从185.208.159[.]155下载的JAR文件("application-ref.jar")。攻击链最终执行"INT_D.DAT"和"INT_J.DAT"两个文件,后者专门窃取Google Chrome中安装的Discord和加密货币钱包扩展的凭证。
Sysdig表示,全球有超过17000个可通过互联网访问的Open WebUI实例,但实际存在配置错误或其他安全弱点的数量尚不明确。研究人员警告:"像Open WebUI这样的系统意外暴露在互联网上仍是严重问题,攻击者针对Linux和Windows系统的攻击中,Windows版本还包含复杂的信息窃取和规避技术。"