奇安信近期发现多个政企研发人员从GitHub下载不可信工具，导致终端被植入窃密或挖矿软件。黑客团伙“Water Curse”和“Lucifer”利用GitHub的开放性进行攻击。奇安信的产品已能精准检测此类威胁。

网络安全公司Darktrace揭示了一起利用Windows软件进行加密货币挖掘的攻击。攻击者通过复杂脚本下载NBMiner恶意软件，并注入Windows字符映射表进程以规避安全检测。Darktrace成功阻止了该攻击，强调了高级安全措施的重要性。专家指出，加密劫持应视为入侵信号，需关注脚本行为和网络连接。

客户的云服务器被发现感染挖矿病毒，经过阿里云安全管控和云安全中心排查，确认自2022年8月起被入侵，挖矿程序位于/dev/.local/stak/ld-linux-x86-64.so.2，父进程为mysqld，尝试删除可疑文件未成功。

CyberProof公司发现了一种通过受感染USB设备传播的多阶段加密货币挖矿攻击，显示可移动介质的持续威胁。攻击链从简单的USB感染升级为复杂的恶意软件，涉及DLL劫持和PowerShell攻击。阿塞拜疆CERT也报告了类似的“Universal Mining”计划，多个行业受到影响。尽管早有警告，受感染USB仍然是有效的攻击载体。

某客户发现攻击者利用CVE-2017-5638漏洞进行攻击，经过分析确认攻击失败。攻击源IP来自印度，反制后发现其搭建了Jboss服务并存在反序列化漏洞，成功获取服务器root权限。进一步调查发现与挖矿相关的恶意文件和进程，确认该主机被挖矿团伙控制，严重影响正常业务。

安全研究人员发现，全球3500多个网站被植入JavaScript加密货币挖矿程序，攻击者通过混淆代码和WebSocket技术隐蔽挖矿，受害者在不知情的情况下贡献计算资源。此外，攻击者还利用多种技术手段进行信用卡盗刷，显示出其对JavaScript的熟练运用。

H2Miner僵尸网络近期复苏，利用廉价VPS和多种恶意软件攻击Linux、Windows及容器。攻击者通过配置错误和漏洞入侵，部署定制脚本以终止防护并下载挖矿程序。新型勒索软件Lcrypt0rx与挖矿程序捆绑传播，具备持久化机制。防御者需全面清理系统以防资源被窃取。

网络安全研究人员发现，Prometei僵尸网络针对Linux服务器的加密货币挖矿和凭证窃取活动显著增加。该恶意软件具有双重威胁，采用多种攻击方式，隐蔽性和复杂性增强，利用模块化架构进行远程控制，并通过自定义配置混淆进行系统侦察以优化挖矿操作。

工作量证明系统（PoW）被用于防止爬虫和DDoS攻击，但其有效性受到质疑。访客的计算资源被利用，网站运营商未必能获益。Coinhive尝试通过访客挖矿获利，但因黑客利用而失败。PoW可能导致用户体验下降，尤其是低端设备用户。未来需要更有效的解决方案来平衡网站安全与用户体验。

攻击者利用CrushFTP漏洞获取服务器配置文件，导致CPU异常升高。系统卡顿可能由计划任务、自动更新或恶意挖矿脚本引起。挖矿程序通过无限循环占用资源，影响系统性能。应立即终止恶意进程并加强安全防护。攻击组织为8220 Gang，需查找C2服务器IP。

Sysdig威胁研究团队发现攻击者利用配置错误的Open WebUI实例，上传恶意Python脚本进行数据窃取和持久化攻击，窃取Discord令牌和Chrome凭证，获利近700美元。安全防护需关注大语言模型的滥用风险。

黑客利用公开的DevOps服务器（如Docker、Gitea等）进行非法加密货币挖掘，攻击活动被称为JINX-0132。研究显示，攻击者通过配置错误和漏洞获取访问权限，下载挖矿工具，造成数万美元损失。全球存在大量暴露的服务器，安全隐患严重。

不安全的Docker API实例成为恶意软件攻击目标，攻击者利用其进行Dero加密货币挖矿，入侵容器并创建僵尸网络，扩散至其他Docker实例。攻击链包括伪装成合法nginx的恶意软件和Dero矿机，最终目标是执行Dero挖矿程序。

卡巴斯基发现一种新型恶意软件，利用暴露的Docker容器进行Dero加密货币挖矿。该恶意软件无需命令控制服务器，能够自我复制并感染其他容器。攻击者通过扫描不安全的Docker API，部署伪装成Web服务器的蠕虫和挖矿程序，形成恶性循环。报告指出，全球至少有520个Docker API存在安全隐患，需加强监控与保护。