Les attaquants exploitent les instances de nomade, Docker et Gitea exposées pour déployer des mineurs XMRIG en quelques minutes, drainant des ressources cloud et éluant la détection.
Une opération de cryptojacking massive en cours exploite activement les outils DevOps mal configurés, notamment Nomad, Consul, Docker et Gitea, pour détourner la puissance de calcul pour l’exploitation des crypto-monnaies, a révélé des recherches sur la menace WIZ.
Surnommé Jinx-0132 par des chercheurs, la campagne a compromis les systèmes à l’échelle mondiale avec les attaquants déploiement des mineurs basés sur XMRIG dans les minutes suivant la violation des API exposées et des configurations faibles.
Cela marque le premier cas connu d’attaquants abusant des erreurs de configuration nomades comme point d’entrée. Le groupe derrière Jinx-0132 évite la détection traditionnelle des logiciels malveillants en tirant des outils inchangés directement des référentiels publics GitHub, en s’appuyant sur une approche «vivant-ouverte» qui ne laisse aucune empreinte digitale numérique unique, compliquant la détection et l’attribution, selon le billet de blog de Wiz.
La campagne a compromis les grands clusters nomades du monde entier, qui gèrent des centaines de clients et consomment des ressources de calcul d’une valeur de dizaines de milliers de dollars par mois, selon l’étude. Cela reflète la découverte antérieure par Wiz de «séléniumgreed», mais avec une tournure critique: Jinx-0132 évite complètement l’infrastructure contrôlée par l’attaquant, s’appuyant plutôt sur des services légitimes et des versions XMRIG standard.
Outils DevOps dans la réticule
Jinx-0132 cible spécifiquement les instances exposées et mal configurées de nomade (orchestration), consul (réseautage), docker (conteneurs) et Gitea (collaboration du code) – outils de base dans les pipelines DevOps modernes, selon Wiz.
Ces services ne sont souvent pas garantis, permettant aux attaquants d’exécuter des conteneurs, de planifier des travaux ou d’exécuter du code à volonté. Les attaquants scannent automatiquement Internet pour trouver des points faibles et déployer des cryptomineurs en quelques minutes.
Les charges de travail en cloud exécutant ces outils sont particulièrement à risque. Une fois compromis, les attaquants siphonnent une puissance de calcul significative, résultant en des factures de cloud inattendues et des performances d’application plus lentes. Certains grappes nomades affectées ont géré des centaines de clients, prouvant que même les grandes entreprises bien financées peuvent être secrètement drainées en raison de simples erreurs de configuration.
Verrouillage de l’exposition à DevOps
Wiz exhorte les organisations à verrouiller les infrastructures DevOps exposées en suivant les meilleures pratiques établies. Pour Nomad, l’application des listes de contrôle d’accès (ACL) aurait bloqué les exécutions d’emploi non authentifiées utilisées dans cette campagne. Les instances publiques de Gitea doivent être entièrement corrigées, avec des crochets Git désactivés et l’installation verrouillée, sauf si vous avez absolument besoin.
Dans Consul, la désactivation des vérifications du script et la liaison de l’API HTTP à LocalHost peuvent empêcher l’accès du service non autorisé. Quant à Docker, l’API est destinée à rester interne – l’exposant à Internet, en particulier via 0.0.0.0, ouvre un chemin direct pour l’exploitation. La minimisation de l’exposition externe, l’activation de l’authentification et l’application de l’accès le moins privile à tous les outils sont des étapes critiques pour arrêter les attaques similaires sur leurs traces.
Pourquoi les configurations sont-elles maintenant la cible
Jinx-0132 signale un changement dans les menaces du cloud – de l’exploitation des défauts du logiciel au ciblage des angles morts opérationnels. Au lieu de logiciels malveillants personnalisés, les attaquants exploitent désormais des erreurs de configuration et des outils open source légitimes, glissant les défenses traditionnelles basées sur le CIO.
La campagne souligne deux tendances clés: les acteurs de la menace vont au-delà de l’infrastructure de nuage de base pour exploiter les pipelines DevOps, et ils s’appuient sur les tactiques «vivant-open-source» pour rester cachée. Dans les configurations complexes du cloud-natives, même les petites touches de configuration peuvent avoir un impact démesuré, ce qui rend l’audit continu tout aussi critique que la surveillance en temps réel.
