Hakkerit Hyödyntävät DevOps-työkalujen Haavoittuvuuksia Kryptovaluuttojen Louhintaan

Tietoturvauhat DevOps-työkaluissa

Tietoturvayhtiö Wiz on tunnistanut hakkeriryhmän, koodinimeltään JINX-0132, joka hyödyntää konfiguraatiohaavoittuvuuksia DevOps-työkaluissa laajamittaisissa kryptovaluuttojen louhintahyökkäyksissä.

Kohdistuneet työkalut ja haavoittuvuudet

Kohdistuneet työkalut sisältävät HashiCorp Nomadin/Consulin, Docker API:n ja Gitean, ja noin 25 % pilviympäristöistä on vaarassa.

Hyökkäysmenetelmät

Hyökkäysmenetelmät sisältävät:

XMRig-louhintasoftan käyttöönoton Nomadin oletuskonfiguraatiolla
Haitallisten skriptien suorittamisen valtuuttamattoman Consul API:n kautta
Altistettujen Docker API:en hallinnan louhintakonttien luomiseksi

Haavoittuvuudet ja suositukset

Wiz:n tiedot osoittavat, että 5 % DevOps-työkaluista on suoraan altistettu julkiselle internetille, ja 30 %:lla on konfiguraatio-ongelmia.

Turvatiimit suosittelevat käyttäjiä päivittämään ohjelmistot viipymättä, poistamaan tarpeettomat ominaisuudet käytöstä ja rajoittamaan API-käyttöoikeuksia riskien vähentämiseksi.

Konfiguraationhallinnan tärkeys

Tämä hyökkäys korostaa pilviympäristön konfiguraationhallinnan tärkeyttä. Huolimatta HashiCorpin virallisessa dokumentaatiossa annetuista varoituksista liittyen riskeihin, monet käyttäjät eivät ole ottaneet käyttöön perussuojausominaisuuksia.

Asiantuntijat korostavat, että yksinkertaiset konfiguraatiomuutokset voivat estää suurimman osan automaattisista hyökkäyksistä.

Aiheeseen liittyvät julkaisut

Uusimmat käyttäjältä Blog

Venäjä laatii stablecoin-lakia aseistaakseen rajat ylittävät kryptovaluuttaverkot

Venäjän stablecoin-laki Venäjä nopeuttaa stablecoin-lain valmistelua muuttaakseen fiat-valuuttoihin sidotut tokenit pakotteita kestäväksi maksuinfrastruktuuriksi. Venäjän valtiovarainministeriö valmistelee itsenäistä stablecoin-lakia, joka säätelee muodollisesti fiat-valuuttoihin sidottuja digitaalisia omaisuuksia sen sijaan, että ne sisällytettäisiin yleiseen kryptovaluuttalakiin.

Liittovaltion urakoitsijan poika pidätetty – syytetty 46 miljoonan dollarin kryptovaluutan varastamisesta Yhdysvaltojen marshals-palvelulta

Liittovaltion Urakoitsijan Poika Pidätetty Liittovaltion urakoitsijan poika, joka hallinnoi kriittisiä palveluja Yhdysvaltain hallitukselle, on pidätetty ja häntä syytetään noin 46 miljoonan dollarin arvosta kryptovaluuttaa varastamisesta Yhdysvaltain marshals-palvelulta. John ”Lick” Daghita pidätettiin viime

Coinbase Hallitus ja toimitusjohtaja Brian Armstrong kohtaavat osakkeenomistajien kanteen

Coinbase Globalin oikeusjuttu Coinbase Globalin hallitus, mukaan lukien toimitusjohtaja Brian Armstrong, on parhaillaan osakkeenomistajien nostaman merkittävän kanteen kohteena. Kanteessa väitetään, että amerikkalaisen kryptovaluuttajätin johtajat ja hallituksen jäsenet ovat rikkoneet liittovaltion arvopaperilakeja antamalla

Miksi Ripple saattaa olla seuraava, joka saa pääsyn Federal Reserveen – Paul Barron selittää

Krakenin historiallinen saavutus Kuten on tullut viralliseksi, Kraken, pankkiyhtiönsä Kraken Financialin kautta, on ensimmäinen kryptoyritys historiassa, joka on saanut pääsyn Yhdysvaltain keskuspankin maksujärjestelmään. Tämä mahdollistaa kryptoplatformin työskentelyn suoraan Yhdysvaltain keskuspankin kanssa, ohittaen

Bitcoinin pioneeri Nick Szabo varoittaa lohkoketjun käyttämisestä viestintään

Bitcoinin tulevaisuus ja Nick Szabon varoitus Kun Bitcoin-verkko valmistautuu kaivamaan 20 miljoonaa kolikkoaan tänä maaliskuussa, legendaarinen kryptografi Nick Szabo antaa hälytyksen. Hänen näkemyksensä mukaan suositut päivitykset, kuten SegWit ja Taproot, ovat muuttaneet

Core Scientific saa jopa 1 miljardin dollarin rahoituksen Morgan Stanleylta

Core Scientificin Rahoitus Core Scientific on saanut 500 miljoonan dollarin lainan Morgan Stanleylta, ja lainassa on mahdollisuus nostaa summa jopa 1 miljardiin dollariin. Tämä lainasopimus on merkittävä askel yhtiölle, joka toimii Bitcoin

Valtiovarainministeriö ja IRS ehdottavat sääntöjä, jotka helpottavat digitaalisten omaisuuserien välittäjien 1099-DA-lomakkeiden sähköistä toimittamista

Pääsy verotietoihisi IRS-tilin kautta Palautukset Maksut Verotiedot Ehdotetut säännöt WASHINGTON — Valtiovarainministeriö ja Sisäinen tuloverovirasto (IRS) julkaisivat tänään ehdotetut säännöt, jotka helpottavat digitaalisten omaisuuserien välittäjien sähköistä ilmoittamista asiakkaille sen sijaan, että paperikopiot

OKB-token nousee 36 % ICE:n sijoittaessa 25 miljardia dollaria OKX:ään

Kumppanuus ICE:n ja OKX:n välillä NYSE:n emoyhtiö ICE on solminut uuden kumppanuuden OKX:n kanssa, jonka myötä se on tehnyt sijoituksen, joka arvostaa kryptovaluuttapörssiä 25 miljardiin dollariin. ICE tulee myös istumaan OKX:n hallituksessa,

ASIC Hyväksyi AUDD:n: Säännelty Australian dollarin tukema stablecoin XRPL:llä

Australia ottaa askeleen kohti lohkoketjun käyttöönottoa Australia on ottanut merkittävän askeleen kohti institutionaalista lohkoketjun käyttöönottoa myöntämällä täysin säännellyn Australian dollarin (AUD) tukeman stablecoinin, joka toimii XRP Ledgerillä. Australian arvopaperi- ja sijoituskomissio (ASIC)

Bybit TradFi Osakefestivaali Ilmoittaa Kauppakilpailusta, jossa Palkintopotti on 100 000 USDT

Geopoliittiset jännitteet ja markkinat 5. maaliskuuta 2026 – Dubai, Yhdistyneet Arabiemiirikunnat. Geopoliittiset jännitteet ja globaali epävarmuus vaikuttavat edelleen markkinoihin tällä viikolla. S&P 500:n kaupankäynnin ollessa 6 869,50, Nasdaq Composite 22 807,48 ja