攻击者滥用Docker API和Tor发起云加密货币劫持

首页新闻* 攻击者正在利用配置错误的Docker API在云环境中挖掘加密货币。

• 他们使用Tor网络来隐藏他们的活动，同时部署加密矿工。
• 攻击者获得访问权限，创建新容器，并挂载关键系统目录，增加容器逃逸的风险。
• 该攻击涉及安装工具和脚本，以设置远程访问、收集数据并安装XMRig矿工。
• 最近的发现显示，公共代码库中泄露了数百个凭据，使公司面临更大的风险。 根据 Trend Micro 研究人员在2025年6月发布的发现，一项活跃的活动正在针对配置错误的Docker实例，秘密挖掘加密货币。攻击者 reportedly 利用配置错误的Docker 应用程序接口，使用Tor网络保持匿名，将加密货币挖掘工具部署到易受攻击的云托管容器上。

• 广告 - 研究人员观察到，攻击通常从请求 Docker API 开始，以检索主机上的容器列表。如果不存在容器，攻击者会使用 "alpine" 镜像创建一个新容器，并将主机系统的根目录挂载为共享卷。这一步骤可以使攻击者绕过容器隔离，访问主机上的文件，从而增加了更广泛的系统被攻破的风险。

Trend Micro 指出，在建立新容器后，攻击者运行 Base64 编码的 shell 脚本以在容器内安装 Tor。然后，他们下载并执行托管在 .onion 地址上的远程脚本，使用“socks5h”等工具和设置通过 Tor 路由所有流量。据研究人员称，*“它反映了攻击者使用的一种常见策略，用于隐藏命令和控制(C&C)基础设施，避免被发现，并在受感染的云或容器环境中提供恶意软件或矿工，”*并补充说，这种方法使追踪攻击来源的工作变得复杂。

设置环境后，攻击者会部署一个名为“docker-init.sh”的 shell 脚本。此脚本检查“/hostroot”目录是否已挂载，更改 SSH 配置以启用 root 登录，并添加攻击者的 SSH 密钥以供将来访问。安装了其他工具，例如 masscan 和 torsocks，使攻击者能够扫描网络并进一步逃避检测。攻击以安装 XMRig 加密货币矿工而告终，该矿工配置了由威胁行为者控制的钱包地址和矿池。

Trend Micro 指出，此活动主要针对技术、金融和医疗保健行业。在 Wiz 发现公共存储库中出现了数百个敏感凭证后，该公司还强调了相关的安全风险，包括 Python 笔记本中的文件和应用程序配置文件，受影响的组织从初创公司到财富 100 公司。研究人员警告说，在共享 Python 笔记本中执行代码的结果可能会向能够将其链接回其来源的攻击者泄露有价值的信息。

这一趋势强调了确保云和容器环境安全的重要性，特别是在攻击者继续自动化利用并寻找公共代码库中暴露的凭据的情况下。

之前的文章：

• 万事达卡加入Paxos全球美元网络以推动稳定币
• 加密市场因特朗普调解伊朗-以色列停火而反弹
• 美联储在银行监管中取消了‘声誉风险’
• 福特迈尔斯官员打击针对老年人的加密货币ATM诈骗
• ETH 在特朗普宣布以色列-伊朗停火后上涨 8%

• 广告 -