威胁警报:大规模的加密挖矿活动滥用GitHub、Docker Hub、Travis CI和Circle CI

admin 2024年9月24日10:20:05评论2 views字数 1640阅读5分28秒阅读模式

Aqua 的 Nautilus 团队检测到了一个令人印象深刻的活动,该活动旨在劫持资源以实现加密货币挖矿。该操作通过滥用其自动化构建流程,专注于多个 SaaS 软件开发环境,包括 Docker Hub、GitHub、Travis CI 和 Circle CI。

幸运的是,我们的研究工作偶尔包括使用 Aqua 动态威胁分析 (DTA) 扫描 Docker Hub 上的图像,我们能够在该活动首次启动后的几个小时内检测和调查此活动。然后,我们的研究团队向受影响的服务提供商通报了此次攻击的详细信息。

精心策划的“闪电战”战役

该活动的基础设施由 11 个 GitHub 用户组成,他们创建了 51 个 GitHub 项目,这些项目伪装成流行的软件项目(如 nginx、okular、openssh、openvpn、seahorse、nautilus、zookeeper 等)。攻击者同样使用流行软件的名称创建了 56 个 Docker Hub 帐户。所有这一切都发生在短短几个小时内。在构建过程中,这些容器镜像继续从单个 GitHub 存储库下载加密挖矿程序。所有 56 个 Docker Hub 镜像都是在创建后的几个小时内检测到的。基于这些发现,Nautilus 团队的一名研究人员将这些点连接起来,以揭示整个攻击杀伤链。

所有图像都设置为下载相同的二进制文件。此文件 (GCC) 被 VirusTotal 标记为恶意文件。

威胁警报:大规模的加密挖矿活动滥用GitHub、Docker Hub、Travis CI和Circle CI

攻击者将二进制文件命名为“GCC”,以便将 PUA 伪装成编译器系统(GNU 编译器集合 – GCC – 是一个编译器系统,是大多数与 Linux 相关的项目的关键组件,包括 Linux 内核)。

威胁警报:大规模的加密挖矿活动滥用GitHub、Docker Hub、Travis CI和Circle CI

加密货币攻击的新作案手法

有趣的是,攻击者正在滥用 GitHub、Docker Hub、Travis CI 和 Circle CI 的基本服务。我们已经看到其他容器供应链攻击,这些攻击利用公共镜像来滥用容器运行时环境,但在这次新的活动中,构建过程本身的基础设施被滥用。

这些镜像构建在这些服务提供商的环境中,然后劫持他们的资源以挖掘加密货币。Dockerfile 中复杂的构建机制如下:

  1. Ubuntu 基础镜像已设置。

  2. /workdir定义为工作目录。

  3. CURL 安装已验证。

  4. 使用 CURL 时,可以从 GitHub 下载二进制 GCC 文件 (PUA) 以及配置文件。

  5. 该文件将被复制到工作目录中并执行。这是该文件 的作用:Docker.shDocker.sh

  • 二进制 GCC(Cryptominer)与配置文件一起执行。

  • 当矿工运行 GitHub 时,存储库将被克隆。

  • 将随机选择两个文件,并替换其内容。

  • 提交一条随机提交消息。

  • 存储库将推送回 GitHub。

  1. PUA 文件将被删除。

  2. 该文件在 CMD 中设置。git

拉取并运行映像时失败,因为 CMD 指示使用 bash 命令运行 JSON 文件。

威胁警报:大规模的加密挖矿活动滥用GitHub、Docker Hub、Travis CI和Circle CI

威胁警报:大规模的加密挖矿活动滥用GitHub、Docker Hub、Travis CI和Circle CI

威胁警报:大规模的加密挖矿活动滥用GitHub、Docker Hub、Travis CI和Circle CI

自创建这些项目和容器镜像以来,它们各自提交了数千次代码更改。每次提交都是由上述所有服务执行一个构建过程,并且在每次构建时,都会执行一个加密矿工。在三天的时间里,该活动在 GitHub 中积累了超过 23.3K 的提交,在 Docker Hub 中积累了 5.8K 的构建,转化为 ~30K 门罗币挖矿会话。目前,Docker Hub 将自动构建限制为 2 小时,这让攻击者有足够的时间来滥用此功能。

威胁警报:大规模的加密挖矿活动滥用GitHub、Docker Hub、Travis CI和Circle CI

可能是攻击者试图尽可能多地滥用此功能。此活动可以很容易地修改为攻击无辜的最终用户(例如开发人员、DevOps)。如果对手更改 CMD 以执行矿工,则此活动可以针对下载这些图像的任何人。

总结

这次攻击是对手不断发展的创造力的另一个例子。他们坚持不懈地追求可滥用的云计算资源,无论他们在哪里可以获得这些资源。这也提醒我们,云中的开发人员环境与生产环境一样容易受到攻击,有时甚至更容易受到攻击,因为它们没有得到相同级别的安全关注。

与往常一样,我们建议此类环境具有严格的访问控制、身份验证和最低权限实施,但也要对出站网络连接进行持续监控和限制,以防止数据盗窃和资源滥用。

原文始发于微信公众号(菜鸟小新):威胁警报:大规模的加密挖矿活动滥用GitHub、Docker Hub、Travis CI和Circle CI

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月24日10:20:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   威胁警报:大规模的加密挖矿活动滥用GitHub、Docker Hub、Travis CI和Circle CIhttp://cn-sec.com/archives/3201302.html

发表评论

匿名网友 填写信息