黑客组织JINX-0132的攻击活动
安全公司Wiz发现,一个名为JINX-0132的黑客组织正在利用DevOps工具中的配置漏洞,展开大规模的加密货币挖矿攻击。受攻击的工具包括HashiCorp的Nomad/Consul、Docker API和Gitea,约25%的云环境处于风险之中。
攻击手法和风险分析
这些攻击手法涉及使用Nomad的默认配置部署XMRig挖矿软件,通过未授权的Consul API访问执行恶意脚本,以及控制暴露的Docker API以创建挖矿容器。Wiz的数据表明,5%的DevOps工具直接暴露在公共互联网中,30%的工具存在配置缺陷。
安全团队建议用户及时更新软件,禁用不必要的功能,并限制API访问权限,以降低风险。
配置管理的重要性
这次攻击突显了云环境配置管理的重要性。尽管HashiCorp的官方文档警告了相关风险,仍有许多用户未启用基本的安全功能。专家强调,简单的配置调整可以有效防止大多数自动化攻击。
