攻擊者濫用Docker API和Tor發起雲加密貨幣劫持

首頁新聞* 攻擊者正在利用配置錯誤的Docker API在雲環境中挖掘加密貨幣。

• 他們使用Tor網路來隱藏他們的活動，同時部署加密礦工。
• 攻擊者獲得訪問權限，創建新容器，並掛載關鍵系統目錄，增加容器逃逸的風險。
• 該攻擊涉及安裝工具和腳本，以設置遠程訪問、收集數據並安裝XMRig礦工。
• 最近的發現顯示，公共代碼庫中泄露了數百個憑據，使公司面臨更大的風險。 根據 Trend Micro 研究人員在2025年6月發布的發現，一項活躍的活動正在針對配置錯誤的Docker實例，祕密挖掘加密貨幣。攻擊者 reportedly 利用配置錯誤的Docker 應用程式接口，使用Tor網路保持匿名，將加密貨幣挖掘工具部署到易受攻擊的雲托管容器上。

• 廣告 - 研究人員觀察到，攻擊通常從請求 Docker API 開始，以檢索主機上的容器列表。如果不存在容器，攻擊者會使用 "alpine" 鏡像創建一個新容器，並將主機系統的根目錄掛載爲共享卷。這一步驟可以使攻擊者繞過容器隔離，訪問主機上的文件，從而增加了更廣泛的系統被攻破的風險。

Trend Micro 指出，在建立新容器後，攻擊者運行 Base64 編碼的 shell 腳本以在容器內安裝 Tor。然後，他們下載並執行托管在 .onion 地址上的遠程腳本，使用“socks5h”等工具和設置通過 Tor 路由所有流量。據研究人員稱，*“它反映了攻擊者使用的一種常見策略，用於隱藏命令和控制(C&C)基礎設施，避免被發現，並在受感染的雲或容器環境中提供惡意軟件或礦工，”*並補充說，這種方法使追蹤攻擊來源的工作變得復雜。

設置環境後，攻擊者會部署一個名爲“docker-init.sh”的 shell 腳本。此腳本檢查“/hostroot”目錄是否已掛載，更改 SSH 配置以啓用 root 登入，並添加攻擊者的 SSH 密鑰以供將來訪問。安裝了其他工具，例如 masscan 和 torsocks，使攻擊者能夠掃描網路並進一步逃避檢測。攻擊以安裝 XMRig 加密貨幣礦工而告終，該礦工配置了由威脅行爲者控制的錢包地址和礦池。

Trend Micro 指出，此活動主要針對技術、金融和醫療保健行業。在 Wiz 發現公共存儲庫中出現了數百個敏感憑證後，該公司還強調了相關的安全風險，包括 Python 筆記本中的文件和應用程序配置文件，受影響的組織從初創公司到財富 100 公司。研究人員警告說，在共享 Python 筆記本中執行代碼的結果可能會向能夠將其連結回其來源的攻擊者泄露有價值的信息。

這一趨勢強調了確保雲和容器環境安全的重要性，特別是在攻擊者繼續自動化利用並尋找公共代碼庫中暴露的憑據的情況下。

之前的文章：

• 萬事達卡加入Paxos全球美元網路以推動穩定幣
• 加密市場因特朗普調解伊朗-以色列停火而反彈
• 聯準會在銀行監管中取消了‘聲譽風險’
• 福特邁爾斯官員打擊針對老年人的加密貨幣ATM詐騙
• ETH 在特朗普宣布以色列-伊朗停火後上漲 8%

• 廣告 -