Pesquisadores da empresa de segurança Wiz identificaram uma campanha de cryptojacking, batizada de JINX-0132, que compromete servidores DevOps expostos publicamente para minerar criptomoedas. Os alvos incluem plataformas como Docker, Gitea, HashiCorp Consul e Nomad, aproveitando-se de configurações incorretas e APIs mal protegidas para executar o minerador XMRig, baixado diretamente do GitHub.
Um dos diferenciais dessa campanha é o uso de ferramentas públicas hospedadas no GitHub, o que dificulta a rastreabilidade dos invasores, que evitam manter infraestrutura própria. É a primeira vez que se registra publicamente o uso do HashiCorp Nomad como vetor de ataque por má configuração, permitindo execução remota de código via API exposta.
No Docker, a falha está nas APIs padrão mal configuradas, que permitem a criação de contêineres maliciosos. No Gitea, a vulnerabilidade CVE-2020-14144 permite execução remota de código, especialmente em versões antigas com a página de instalação desbloqueada. No Consul, hackers abusam das verificações de saúde para inserir comandos bash maliciosos. Já no Nomad, a falha na configuração padrão permite criar novos jobs que executam scripts mineradores.
Segundo dados da Shodan, existem mais de 5.300 servidores Consul e cerca de 400 servidores Nomad expostos globalmente, com maior incidência na China, EUA e Europa.
Paralelamente, a Sysdig detectou outra campanha maliciosa que explora o Open WebUI exposto na internet para instalar mineradores como T-Rex e XMRig via scripts Python. Os ataques também envolvem persistência via systemd e controle remoto por webhooks no Discord. Em ambientes Windows, há roubo de credenciais de carteiras e do próprio Discord via arquivos JAR.
Leia mais na mesma categoria:
