Os mineradores Monero visam ambientes de desenvolvimento nativos da nuvem

Pesquisadores de segurança descobriram um renascimento nos ataques contra o GitHub e o Docker Hub para minerar criptomoedas.

De acordo com pesquisadores da empresa de segurança cibernética Aqua Security, em apenas quatro dias, os invasores configuraram 92 registros maliciosos do Docker Hub e 92 repositórios Bitbucket para abusar desses recursos para mineração de criptomoedas. Em setembro passado, a equipe desenterrou uma campanha semelhante que explorou processos de compilação automatizados no GitHub e no Docker Hub para criar mineradores de criptomoedas.

Os pesquisadores disseram que os hackers criaram um processo de integração contínua que inicia vários processos de criação automática a cada hora. Em cada compilação, um cryptominer Monero é executado.

No ataque, os hackers criaram várias contas de e-mail falsas usando um provedor de serviços de e-mail russo gratuito. Eles então configuraram uma conta Bitbucket com alguns repositórios. Para evitar a detecção, cada um foi mascarado como um projeto benigno usando a documentação oficial do projeto.

Os hackers então criaram um hub Docker com vários registros. Cada registro se apresentou como benigno, usando sua documentação para evitar a detecção. As imagens são criadas nos ambientes desses provedores de serviços e, em seguida, sequestram seus recursos para minerar criptomoedas.

“Esta campanha mostra a sofisticação cada vez maior dos ataques direcionados à pilha nativa da nuvem”, diz Assaf Morag, da Aqua Security. “Os maus atores estão constantemente evoluindo suas técnicas para sequestrar e explorar recursos de computação em nuvem para mineração de criptomoedas. Também nos lembra que os ambientes de desenvolvedor na nuvem representam um alvo lucrativo para os invasores, pois geralmente eles não estão recebendo o mesmo nível de escrutínio de segurança.”

Tim Mackey, principal estrategista de segurança do Synopsys CyRC (Cybersecurity Research Center), disse ao ITPro que os sistemas de compilação usados ​​para criar software devem sempre ser protegidos para garantir que processem apenas solicitações relacionadas a projetos legítimos.

“Há muitas razões para isso, mas a mais importante delas é garantir que o que está sendo construído é algo que deve ser construído. Quando sistemas de compilação e processos de compilação são movidos para sistemas baseados em nuvem, o perfil de risco para o sistema de compilação agora também se estende aos recursos do provedor de nuvem. Embora os principais provedores públicos de serviços de construção de software, como GitHub ou Docker, tenham proteções para limitar o risco do cliente, como mostra este relatório, eles não estão imunes a ataques”, disse Mackey.

Mackey acrescentou que esse padrão de ataque deve servir como uma oportunidade para qualquer pessoa que opere um processo de compilação baseado em nuvem, não apenas os provedores de tais serviços.

“Se houver uma maneira de código ou configuração não aprovado entrar em seu sistema de compilação, as ações executadas por seus pipelines de compilação podem estar sob o controle de um invasor. Minimamente, o consumo de recursos pode crescer a um ponto em que os trabalhos de construção não estão progredindo como deveriam – uma situação que pode ter um impacto direto nos cronogramas de entrega”, disse ele.