駭客針對雲端開發環境，植入挖礦惡意軟體，濫用系統資源進行挖礦運算

資安廠商 Aqua 近日發表研究情資，指出該公司發現有駭侵者針對雲端開發環境植入挖礦惡意軟體的威脅攻擊事件；這類駭侵攻擊活動在沉寂數月後，近來又開始大舉發動攻擊。

Aqua 指出，該公司旗下的「鸚鵡螺」（Nautilus）資安團隊，最早是在去年（2020）九月間發現這類攻擊事件。駭侵者針對在 Github 與 Docker Hub 上的自動化開發環境建置系統發動攻擊，在其開發環境中植入挖礦惡意軟體挖掘門羅幣。

Aqua 指出，去年該公司首次發現這類攻擊活動後，立即通知受到惡意攻擊的開發單位，相關的攻擊活動受阻後便沈寂了一段時間；近來該公司再度觀察到類似攻擊活動再度開始活躍，短短數日內就建置了 92 個 Docker Hub 註冊與 92 個 Bitbucket 程式庫，利用這些資源進行惡意挖礦活動。

Aqua 在報告中詳述了駭侵者採用的攻擊手法。首先駭侵者會利用位於俄羅斯境內的免費電子郵件服務 inbox.ru 設立多個攻擊用的 Email 帳號，接下來就利用這些 Email 帳號在 Bitbucket 網站內新增開發用的帳號與環境，並且利用一些技巧，將開發計畫偽裝為使用官方計畫文件設立的正常開發帳號，以避免被查緝。

駭侵者接著同時會申請新的 Docker Hub 帳號，同樣的，也會偽裝成使用官方計畫文件設立的開發者帳號來避開查緝，然後就開始執行多個偽裝成 ffmpeg、gcc 等通用程式，但實際上利用系統資源進行挖礦作業。

Aqua 指出，類似這類竊取雲端服務運算資源，實際上進行惡意挖礦攻擊的案例層出不窮。在 2020 年時 Bitbucket 也曾發生類似的駭侵挖礦攻擊。由於這類雲端開發環境服務，一般對於各專案的資安防護比較弱，也給駭侵者可乘之機。

本文轉載自TWCERT/CC。