Los mineros de Monero apuntan a entornos de desarrollo nativos de la nube

Los investigadores de seguridad han descubierto un resurgimiento de los ataques contra GitHub y Docker Hub para extraer criptomonedas.

Según los investigadores de la firma de seguridad cibernética Aqua Security, en solo cuatro días, los atacantes configuraron 92 registros maliciosos de Docker Hub y 92 repositorios de Bitbucket para abusar de estos recursos para la minería de criptomonedas. En septiembre pasado, el equipo descubrió una campaña similar que explotaba procesos de compilación automatizados en GitHub y Docker Hub para crear mineros de criptomonedas.

Los investigadores dijeron que los piratas informáticos crearon un proceso de integración continua que inicia múltiples procesos de creación automática cada hora. En cada compilación, se ejecuta un criptominero Monero.

En el ataque, los piratas informáticos crearon varias cuentas de correo electrónico falsas utilizando un proveedor de servicios de correo electrónico ruso gratuito. Luego configuraron una cuenta de Bitbucket con algunos repositorios. Para evadir la detección, cada uno se hizo pasar por un proyecto benigno utilizando la documentación oficial del proyecto.

Luego, los piratas informáticos crearon un centro Docker con varios registros. Cada registro se presentó como benigno, usando su documentación para evadir la detección. Las imágenes se crean en los entornos de estos proveedores de servicios y luego secuestran sus recursos para extraer criptomonedas.

“Esta campaña muestra la sofisticación cada vez mayor de los ataques dirigidos a la pila nativa de la nube”, dice Assaf Morag de Aqua Security. “Los malos actores evolucionan constantemente sus técnicas para secuestrar y explotar los recursos informáticos en la nube para la minería de criptomonedas. También nos recuerda que los entornos de desarrollo en la nube representan un objetivo lucrativo para los atacantes, ya que, por lo general, no reciben el mismo nivel de escrutinio de seguridad”.

Tim Mackey, principal estratega de seguridad en Synopsys CyRC (Centro de Investigación de Ciberseguridad), dijo a ITPro que los sistemas de compilación utilizados para crear software siempre deben estar protegidos para garantizar que solo procesen solicitudes relacionadas con proyectos legítimos.

“Hay muchas razones para esto, pero la más importante es asegurarse de que lo que se está construyendo es algo que se debe construir. Cuando los sistemas de compilación y los procesos de compilación se trasladan a sistemas basados ​​en la nube, el perfil de riesgo del sistema de compilación ahora se extiende también a las capacidades del proveedor de la nube. Si bien los principales proveedores públicos de servicios de creación de software, como GitHub o Docker, contarán con protecciones para limitar el riesgo del cliente, como muestra este informe, no son inmunes a los ataques”, dijo Mackey.

Mackey agregó que este patrón de ataque debería servir como una oportunidad para cualquiera que opere un proceso de compilación basado en la nube, no solo para los proveedores de dichos servicios.

“Si hay una forma de que el código o la configuración no aprobados ingresen a su sistema de compilación, entonces las acciones realizadas por sus canalizaciones de compilación podrían estar bajo el control de un atacante. Como mínimo, el consumo de recursos podría crecer hasta un punto en el que los trabajos de construcción no progresen como deberían, una situación que podría tener un impacto directo en los cronogramas de entrega”, dijo.