Penambang Monero menargetkan lingkungan pengembangan asli cloud

Peneliti keamanan telah menemukan kebangkitan dalam serangan terhadap GitHub dan Docker Hub untuk menambang cryptocurrency.

Menurut para peneliti di perusahaan keamanan siber Aqua Security, hanya dalam empat hari, para penyerang menyiapkan 92 pendaftar Docker Hub yang berbahaya dan 92 repositori Bitbucket untuk menyalahgunakan sumber daya ini untuk penambangan cryptocurrency. September lalu, tim menemukan kampanye serupa yang mengeksploitasi proses pembuatan otomatis di GitHub dan Docker Hub untuk membuat penambang cryptocurrency.

Para peneliti mengatakan peretas menciptakan proses integrasi berkelanjutan yang memulai beberapa proses pembuatan otomatis setiap jam. Pada setiap build, cryptominer Monero dieksekusi.

Dalam serangan itu, peretas membuat beberapa akun email palsu menggunakan penyedia layanan email gratis Rusia. Mereka kemudian membuat akun Bitbucket dengan beberapa repositori. Untuk menghindari deteksi, masing-masing menyamar sebagai proyek jinak menggunakan dokumentasi proyek resmi.

Peretas kemudian membuat hub Docker dengan beberapa pendaftar. Setiap registri menampilkan dirinya sebagai jinak, menggunakan dokumentasinya untuk menghindari deteksi. Gambar dibuat di lingkungan penyedia layanan ini dan kemudian membajak sumber daya mereka untuk menambang cryptocurrency.

“Kampanye ini menunjukkan kecanggihan serangan yang terus berkembang yang menargetkan tumpukan cloud-native,” kata Assaf Morag dari Aqua Security. “Aktor jahat terus mengembangkan teknik mereka untuk membajak dan mengeksploitasi sumber daya komputasi awan untuk penambangan cryptocurrency. Ini juga mengingatkan kita bahwa lingkungan pengembang di cloud merupakan target yang menguntungkan bagi penyerang seperti biasanya, mereka tidak mendapatkan tingkat pengawasan keamanan yang sama.”

Tim Mackey, ahli strategi keamanan utama di Synopsys CyRC (Pusat Penelitian Keamanan Siber), mengatakan kepada ITPro bahwa sistem pembangunan yang digunakan untuk membuat perangkat lunak harus selalu diamankan untuk memastikan mereka hanya memproses permintaan yang terkait dengan proyek yang sah.

“Ada banyak alasan untuk ini, tetapi yang paling penting adalah memastikan bahwa apa yang dibangun adalah sesuatu yang harus dibangun. Saat sistem pembangunan dan proses pembangunan dipindahkan ke sistem berbasis cloud, profil risiko untuk sistem pembangunan sekarang meluas ke kemampuan penyedia cloud juga. Sementara penyedia publik utama layanan pembuatan perangkat lunak, seperti GitHub atau Docker, akan memiliki perlindungan untuk membatasi risiko klien, seperti yang ditunjukkan oleh laporan ini, mereka tidak kebal dari serangan,” kata Mackey.

Mackey menambahkan bahwa pola serangan ini harus menjadi peluang bagi siapa saja yang mengoperasikan proses pembangunan berbasis cloud, bukan hanya penyedia layanan tersebut.

“Jika ada cara untuk kode atau konfigurasi yang tidak disetujui untuk memasuki sistem build Anda, maka tindakan yang dilakukan oleh pipeline build Anda dapat berada di bawah kendali penyerang. Minimal, konsumsi sumber daya dapat tumbuh ke titik di mana pekerjaan pembangunan tidak berjalan sebagaimana mestinya – situasi yang dapat berdampak langsung pada jadwal pengiriman,” katanya.