Ngày 4/6, một nhóm hacker có mã hiệu JINX-0132 đã tận dụng lỗ hổng cấu hình trong các công cụ DevOps để tiến hành các cuộc tấn công đào tiền điện tử quy mô lớn trên nền tảng đám mây. Các mục tiêu chủ yếu gồm HashiCorp Nomad, Consul, Docker API và Gitea. Báo cáo cho thấy khoảng 25% môi trường đám mây đứng trước nguy cơ bị xâm nhập do cấu hình yếu kém.
Chiến thuật của hacker tập trung vào việc khai thác cấu hình mặc định của Nomad để triển khai phần mềm đào XMRig; thực thi script độc hại thông qua API không kiểm soát của Consul; kiểm soát Docker API mở để tạo container đào tiền điện tử. Trong số các công cụ DevOps, có 5% tiếp xúc trực tiếp với internet công cộng và 30% trong số đó tồn tại khiếm khuyết bảo mật nghiêm trọng.
Mặc dù HashiCorp từng cảnh báo từ tài liệu chính thức về các rủi ro, phần lớn người dùng vẫn chưa kích hoạt tính năng bảo mật cơ bản. Các chuyên gia cảnh báo rằng việc chỉnh sửa cấu hình đơn giản đủ khả năng chặn đứng phần lớn tấn công tự động. Đội ngũ bảo mật khuyến nghị cập nhật thường xuyên, tắt bỏ chức năng không cần thiết, đặc biệt hạn chế quyền truy cập API nhằm giảm thiểu nguy cơ.
Đợt tấn công này một lần nữa cho thấy tầm quan trọng của công tác quản lý cấu hình môi trường đám mây trong hệ sinh thái tiền điện tử hiện đại. Sự chủ quan và sơ hở của người vận hành là mảnh đất màu mỡ cho tội phạm mạng tinh vi thêm lộng hành, gây thiệt hại đáng kể về tài nguyên và chi phí vận hành.
