Identifikasi Kelompok Peretas JINX-0132
Perusahaan keamanan Wiz baru-baru ini mengidentifikasi kelompok peretas bernama JINX-0132 yang memanfaatkan kerentanan konfigurasi dalam alat DevOps untuk melancarkan serangan penambangan cryptocurrency dalam skala besar. Alat yang menjadi target serangan ini antara lain HashiCorp Nomad/Consul, Docker API, dan Gitea, dengan sekitar 25% lingkungan cloud berisiko terkena dampak.
Metode Serangan
Metode serangan yang digunakan mencakup:
- Penerapan perangkat lunak penambangan XMRig dengan memanfaatkan konfigurasi default Nomad.
- Menjalankan skrip berbahaya melalui akses API Consul yang tidak sah.
- Mengendalikan API Docker yang terekspos untuk membuat kontainer penambangan.
Menurut data yang dirilis oleh Wiz, sekitar 5% dari alat DevOps secara langsung terekspos ke internet publik, dan 30% memiliki cacat konfigurasi.
Rekomendasi Keamanan
Tim keamanan merekomendasikan agar para pengguna segera:
- Memperbarui perangkat lunak.
- Menonaktifkan fitur yang tidak perlu.
- Membatasi izin akses API untuk mengurangi risiko.
Serangan ini menekankan pentingnya manajemen konfigurasi lingkungan cloud. Meskipun dokumentasi resmi HashiCorp telah memperingatkan tentang risiko yang terkait, masih banyak pengguna yang belum mengaktifkan fitur keamanan dasar yang disediakan. Para ahli juga menekankan bahwa penyesuaian konfigurasi yang sederhana dapat mencegah sebagian besar serangan otomatis yang terjadi.
