根据TheHackNews,GitHubActions和Azure虚拟机(VM)正被用于基于云的加密货币挖掘。这意味着,黑灰矿业开始将目光转向云资源。“攻击者可以滥用GitHub提供的运行器或服务器来运行组织的管道和自动化,通过恶意下载和安装他们自己的加密货币矿工来轻松获利,”趋势科技研究员MagnoLogan在一份报告中说。GitHubActions(GHA)是一个持续集成和持续交付(CI/CD)平台,允许用户自动化软件构建、测试和部署管道。开发人员可以利用此功能创建工作流程,以构建和测试代码存储库的每个拉取请求,或将合并的拉取请求部署到生产环境。趋势科技表示,它确定了不少于1,000个存储库和超过550个代码样本,它们利用GitHub提供的运行器利用该平台来挖掘加密货币。Microsoft拥有的代码托管服务已收到此问题的通知。趋势科技在11存储库中包含YAML脚本的类似变体,其中包含用于挖掘Monero的命令。有趣的是,这些加密货币最终都指向同一个钱包,这表明这要么是单个参与者的工作,要么是一个团队协同工作的结果。众所周知,基于云的加密货币挖掘面向加密劫持的组织会利用目标系统中的安全漏洞(例如未修补的漏洞、薄弱的凭据或配置错误的云实施)来渗透云部署。非法加密货币挖矿领域的一些著名参与者包括8220、Keksec(又名KekSecurity)、Kinsing、Outlaw和TeamTNT。这个恶意软件工具集的另一个特点是使用杀戮脚本来终止和删除竞争的加密货币矿工,以最好地滥用云系统为自己谋取利益,趋势科技称之为“控制受害者资源的战斗”。也就是说,部署加密货币矿工,除了会产生基础设施和能源成本外,也是安全状况不佳的晴雨表,使攻击者可以将通过云错误配置获得的初始访问武器化,用于更具破坏性的目标,例如数据泄露或勒索软件。该公司在早些时候的一份报告中表示:“恶意行为者和团体不仅要与目标组织的安全系统、人员打交道,还必须相互竞争有限的资源。”竞争并保持对受害服务器的控制是这些组织工具和技术发展的主要驱动力,驱使他们不断提高从受感染系统中移除竞争对手的能力,同时击退他们的攻击。“
