黑客利用GitHub现成工具通过DevOps API发起加密货币挖矿攻击
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
黑客利用公开的DevOps服务器(如Docker、Gitea等)进行非法加密货币挖掘,攻击活动被称为JINX-0132。研究显示,攻击者通过配置错误和漏洞获取访问权限,下载挖矿工具,造成数万美元损失。全球存在大量暴露的服务器,安全隐患严重。
🎯
关键要点
- 黑客利用公开的DevOps服务器进行非法加密货币挖掘,攻击活动被称为JINX-0132。
- 攻击者通过配置错误和漏洞获取访问权限,下载挖矿工具,造成数万美元损失。
- 攻击者直接从GitHub仓库下载工具,使用现成工具混淆攻击溯源。
- JINX-0132已入侵数百个Nomad实例,显示出挖矿所需的计算能力。
- Docker API滥用是攻击的常见入口,攻击者利用配置错误的Docker API实例进行挖矿。
- 公开暴露的Gitea实例存在远程代码执行风险,攻击者可利用其漏洞获取初始访问权限。
- 全球有超过5300个暴露的Consul服务器和400多个暴露的Nomad服务器,主要集中在多个国家。
- 攻击者利用Nomad服务器API配置错误下载并执行XMRig挖矿程序。
- Sysdig披露了针对Linux和Windows的恶意软件活动,攻击者利用Open WebUI配置错误上传恶意脚本。
- 全球有超过17000个可通过互联网访问的Open WebUI实例,存在严重的安全隐患。
❓
延伸问答
黑客如何利用DevOps服务器进行加密货币挖掘?
黑客通过利用公开暴露的DevOps服务器,如Docker和Gitea,利用配置错误和漏洞获取访问权限,下载挖矿工具进行非法挖掘。
JINX-0132攻击活动的影响范围有多大?
JINX-0132已入侵数百个Nomad实例,造成每月数万美元的损失,显示出其对计算资源的需求。
攻击者是如何混淆攻击溯源的?
攻击者直接从GitHub仓库下载现成的挖矿工具,而不是使用自有基础设施,从而混淆攻击的溯源。
哪些配置错误使得Docker API容易受到攻击?
攻击者利用配置错误的Docker API实例,通过启动挂载主机文件系统的容器等方式进行攻击。
全球有多少个暴露的Consul和Nomad服务器?
全球有超过5300个暴露的Consul服务器和400多个暴露的Nomad服务器,主要集中在多个国家。
攻击者如何利用Open WebUI进行攻击?
攻击者利用配置错误的Open WebUI系统上传恶意脚本,最终投放加密货币挖矿程序。
➡️
