I miner Monero prendono di mira ambienti di sviluppo cloud-native

I ricercatori di sicurezza hanno scoperto una rinascita degli attacchi contro GitHub e Docker Hub per estrarre criptovaluta.

Secondo i ricercatori della società di sicurezza informatica Aqua Security, in soli quattro giorni gli aggressori hanno creato 92 registri Docker Hub dannosi e 92 repository Bitbucket per abusare di queste risorse per il mining di criptovalute. Lo scorso settembre, il team ha portato alla luce una campagna simile che sfruttava i processi di compilazione automatizzati su GitHub e Docker Hub per creare minatori di criptovalute.

I ricercatori hanno affermato che gli hacker hanno creato un processo di integrazione continua che avvia più processi di creazione automatica ogni ora. Su ogni build, viene eseguito un cryptominer Monero.

Nell'attacco, gli hacker hanno creato diversi account di posta elettronica falsi utilizzando un provider di servizi di posta elettronica russo gratuito. Hanno quindi creato un account Bitbucket con alcuni repository. Per eludere il rilevamento, ognuno si è mascherato da progetto benigno utilizzando la documentazione ufficiale del progetto.

Gli hacker hanno quindi creato un hub Docker con diversi registri. Ogni registro si è presentato come benigno, utilizzando la sua documentazione per eludere il rilevamento. Le immagini sono costruite sugli ambienti di questi fornitori di servizi e quindi dirottano le loro risorse per estrarre criptovaluta.

"Questa campagna mostra la sempre maggiore sofisticatezza degli attacchi che prendono di mira lo stack nativo del cloud", afferma Assaf Morag di Aqua Security. “I cattivi attori evolvono costantemente le loro tecniche per dirottare e sfruttare le risorse di cloud computing per il mining di criptovalute. Ci ricorda inoltre che gli ambienti degli sviluppatori nel cloud rappresentano un obiettivo redditizio per gli aggressori poiché di solito non ottengono lo stesso livello di controllo della sicurezza".

Tim Mackey, principale stratega della sicurezza presso il Synopsys CyRC (Cybersecurity Research Center), ha dichiarato a ITPro che i sistemi di compilazione utilizzati per creare software debbano essere sempre protetti per garantire che elaborino solo richieste relative a progetti legittimi.

“Ci sono molte ragioni per questo, ma la più importante delle quali è garantire che ciò che si sta costruendo sia qualcosa che dovrebbe essere costruito. Quando i sistemi di compilazione e i processi di compilazione vengono spostati su sistemi basati su cloud, il profilo di rischio per il sistema di compilazione ora si estende anche alle capacità del provider cloud. Sebbene i principali fornitori pubblici di servizi di creazione di software, come GitHub o Docker, disporranno di protezioni per limitare il rischio per i clienti, come mostra questo rapporto, non sono immuni da attacchi", ha affermato Mackey.

Mackey ha aggiunto che questo modello di attacco dovrebbe rappresentare un'opportunità per chiunque gestisca un processo di compilazione basato su cloud, non solo per i fornitori di tali servizi.

"Se c'è un modo per il codice o la configurazione non approvati per entrare nel tuo sistema di build, le azioni eseguite dalle tue pipeline di build potrebbero essere sotto il controllo di un utente malintenzionato. Come minimo, il consumo di risorse potrebbe crescere fino al punto in cui i lavori di costruzione non procedono come dovrebbero, una situazione che potrebbe avere un impatto diretto sui programmi di consegna", ha affermato.