Selon PANews, la société de sécurité Wiz a identifié un groupe de hackers, codé JINX-0132, qui exploite des vulnérabilités de configuration dans les outils DevOps pour des attaques de minage de cryptomonnaies à grande échelle. Les outils ciblés incluent HashiCorp Nomad/Consul, Docker API et Gitea, avec environ 25 % des environnements cloud à risque.
Les méthodes d'attaque impliquent le déploiement du logiciel de minage XMRig en utilisant la configuration par défaut de Nomad, l'exécution de scripts malveillants via un accès non autorisé à l'API Consul, et le contrôle des API Docker exposées pour créer des conteneurs de minage. Les données de Wiz indiquent que 5 % des outils DevOps sont directement exposés à Internet, avec 30 % ayant des défauts de configuration.
Les équipes de sécurité recommandent aux utilisateurs de mettre à jour rapidement les logiciels, de désactiver les fonctionnalités inutiles et de restreindre les autorisations d'accès à l'API pour atténuer les risques. Cette attaque souligne l'importance de la gestion de la configuration de l'environnement cloud. Malgré les avertissements de la documentation officielle de HashiCorp concernant les risques associés, de nombreux utilisateurs n'ont pas activé les fonctionnalités de sécurité de base.
