Выявление новой угрозы от хакерской группы JINX-0132
Компания безопасности Wiz выявила группу хакеров с кодовым названием JINX-0132, которая использует уязвимости конфигурации в инструментах DevOps для проведения масштабных атак на добычу криптовалюты.
Целевые инструменты и методы атак
К целевым инструментам относятся HashiCorp Nomad/Consul, Docker API и Gitea, что ставит под угрозу примерно 25% облачных сред.
Методы атак включают:
- развёртывание программного обеспечения для майнинга XMRig с использованием стандартной конфигурации Nomad;
- выполнение вредоносных скриптов через несанкционированный доступ к API Consul;
- контроль над открытыми API Docker для создания майнинг-контейнеров.
Рекомендации по безопасности
Данные от Wiz указывают на то, что 5% инструментов DevOps непосредственно подвержены угрозе из публичного интернета, при этом 30% имеют конфигурационные недостатки.
Безопасные команды рекомендуют пользователям:
- незамедлительно обновлять программное обеспечение;
- отключать ненужные функции;
- ограничивать права доступа к API для снижения рисков.
Эта атака подчеркивает важность управления конфигурацией облачной среды. Несмотря на предупреждения в официальной документации HashiCorp о связанных рисках, многие пользователи не активировали базовые функции безопасности.
Эксперты подчеркивают, что простые изменения в конфигурации могут предотвратить большинство автоматизированных атак.
