黑客组织JINX-0132利用DevOps工具漏洞进行大规模加密货币挖矿
据The Register报道,网络安全公司Wiz近期披露,一个名为JINX-0132的黑客组织正在大规模发动针对云基础设施的加密货币挖矿攻击。该组织利用多个主流DevOps工具的配置漏洞,将目标锁定在HashiCorp Nomad、Consul、Docker API和Gitea等平台,试图在未经授权的情况下部署挖矿程序,非法获取加密货币收益。
据调查,JINX-0132主要通过滥用默认或未加固的配置进行入侵,目标是那些运行在云环境中的开放服务和开发运维工具。安全研究显示,约有25%的云基础设施环境存在此类漏洞,面临不同程度的风险。
攻击方式具有较高的技术性和针对性。例如,在Nomad平台中,攻击者利用其默认配置的漏洞,部署了著名的XMRig加密货币挖矿软件。一旦部署成功,这些程序便会开始消耗云资源,以挖掘门罗币(Monero),给被攻击方带来性能下降和成本上升的双重打击。
此外,在Consul环境中,黑客通过其未授权访问的API接口执行恶意脚本,从而获得系统权限进行持续性攻击。这些脚本可以被用来下载挖矿程序、建立远程访问渠道甚至进行横向移动,扩大感染范围。
在Docker环境下,攻击者则控制暴露在互联网上的Docker API,未经身份验证直接创建并运行带有挖矿程序的容器。这种方式极为隐蔽,容器运行表面上与正常服务无异,但实际上消耗着大量的计算资源,从而实现加密货币挖矿。
安全专家指出,这类攻击反映出当前许多组织在使用开源运维工具时,缺乏足够的配置审查与安全防护机制。尽管这些工具本身具备强大功能,但如果未进行正确配置和权限控制,将成为攻击者的“后门”。
Wiz方面建议所有使用相关工具的企业立即审查其云环境的配置,关闭不必要的API接口、限制权限范围、更新工具版本,并启用多因素身份验证,以最大程度降低被攻击的风险。
JINX-0132的活动也再次提醒业界,云安全不仅仅是基础设施层面的责任,更需要在开发运维流程中嵌入安全策略。随着攻击者手段的持续升级,只有构建“默认安全”的架构和流程,才能真正保护企业免受此类隐蔽且持续性的威胁。
