据Wiz威胁研究团队周一报道，一项加密劫持活动针对Docker、HashiCorp Nomad、HashiCorp Consul和Gitea的DevOps网络服务器。

　　被追踪为JINX-0132的攻击者利用错误配置或漏洞，使DevOps服务器暴露在互联网上，并容易受到开源XMRig加密挖掘软件的恶意部署。

　　Wiz研究人员指出，这些攻击几乎没有留下独特的妥协指标（IOC）来识别特定的威胁行为者。JINX-0132直接从其公共GitHub存储库下载XMRig，而不是从攻击者控制的服务器下载任何自定义恶意软件。

　　据Wiz称，这些攻击也被强调为首次公开报道的利用HashiCorp Nomad错误配置作为野外攻击载体。

　　某些受影响的Nomad实例管理着数百个客户端，CPU和RAM资源的组合每月将花费数万美元。这凸显了即使是拥有大量预算的大型组织仍然容易受到基本配置错误的影响，”Wiz的研究人员写道。

　　攻击者如何使用您的DevOps服务器进行加密挖矿

　　JINX-0132攻击者依靠不安全的配置或易受攻击的软件版本来劫持DevOps网络服务器并下载XMRig来挖掘Monero。

　　值得注意的是，HashiCorp Nomad和Consul默认不是安全的，用户有责任正确配置他们的实例，以避免被JINX-0132等攻击者滥用。

　　HashiCorp Nomad是一个简单的调度器和编排器工具，开发人员可以用它来部署和管理容器和非容器化的应用程序。默认情况下，任何可以访问Nomad服务器API的人都可以将作业添加到Nomad的工作队列中。

　　此默认配置被JINX-0132滥用，在公开的服务器上创建了多个作业，这些作业从GitHub下载、解压缩并执行了最新版本的XMRig。恶意任务似乎有随机的名称，由小写字母组成。

　　研究人员指出，唯一独特的IOC是特定的任务组名称和门罗币钱包地址，在未来的活动中很容易被攻击者取代。

　　为了防止Nomad攻击，用户应遵循HashiCorp安全建议，并激活访问控制列表（ACL）等安全功能，以防止未经身份验证的作业创建。

　　HashiCorp的服务网络解决方案Consul以不太直接的方式被利用，JINX-0132劫持了服务运行状况检查功能。该功能允许在运行状况检查期间执行bash命令，可以利用它来启用远程代码执行（RCE）。

　　默认情况下，任何远程访问服务器的用户都可以注册健康检查，并包含潜在的恶意bash命令，就像JINX-0132在其加密劫持活动中所做的那样。与Nomad一样，用户可以通过利用HashiCorp安全功能和ACL来防止这种情况，只允许授权用户注册健康检查。

　　Gitea是一种开源的自托管Git服务，通常用作GitHub或GitLab的替代品，尽管Wiz强调了利用这些服务器的多种潜在方法，但它也通过未知的方法成为该活动的目标。

　　首先，攻击者可以利用作为CVE-2020-14144跟踪的问题，在Gitea版本1.1.0至1.12.5中，“DISABLE_GIT_HOOKS”标志默认设置为“false”。Wiz解释说，这将使任何有权创建git hooks的用户也能添加使用Gitea操作系统权限运行的接收后脚本。

　　据Wiz称，虽然CVE-2020-14144的利用要求攻击者已经拥有一定级别的权限，但Gitea短命的1.4.0版本中的另一个缺陷可能会启用未经身份验证的RCE。

　　该缺陷在1.4.1版本中修复，并且从未被分配到CVE，它将允许攻击者通过在没有身份验证的情况下编写大型文件存储（LFS）对象来利用git钩子机制，执行路径遍历以读取“../../../custom/conf/app.ini”并创建一个管理会话，Wiz团队解释道。

　　此外，如果Gitea实例的“INSTALL_LOCK”设置为“false”，则可以访问实例的攻击者可以重新运行安装向导，以重置凭据并覆盖配置。Wiz建议配置Gitea，以适当限制创建git钩子的能力，锁定安装程序，并确保不使用易受攻击的1.4.0版本。

　　最后，Wiz指出，当Docker API配置为暴露在互联网上时，攻击者可以轻松地执行操作，就好像他们访问了根拥有的Docker命令行界面，并实现恶意RCE。由于Docker API默认设计为内部服务，Wiz警告不要更改可能将API暴露给攻击者的配置。

　　25%的云环境托管有针对性的DevOps工具

　　Wiz指出，JINX-0132所针对的DevOps工具存在于所有云环境中的四分之一，仅HashiCorp Consul就运行在超过20%的环境中。在这些环境中，大约5%被发现暴露在互联网上，30%暴露在互联网上的实例被发现配置错误。

　　Wiz对目标HashiCorp工具进行的Shodan搜索显示，总共有超过6700个暴露在互联网上的实例，包括中国的2600多个实例和美国的850多个实例。

　　配置错误的开发人员工具经常成为加密劫持者的目标，旨在利用企业的计算能力牟利。例如，在Darktrace和Cado安全实验室确定的2025年4月活动中，配置错误的Docker API是目标，在同一月ExtensionTotal确定的活动中，发现了九个恶意的Visual Code Studio扩展，以促进加密劫持。

　　XMRig在这些活动中经常被滥用，攻击者可以轻松访问和自定义开源的Monero采矿工具。