Les mineurs de Monero ciblent les environnements de développement natifs du cloud

Les chercheurs en sécurité ont découvert une recrudescence des attaques contre GitHub et Docker Hub pour exploiter la crypto-monnaie.

Selon des chercheurs de la société de cybersécurité Aqua Security, en seulement quatre jours, les attaquants ont mis en place 92 registres Docker Hub malveillants et 92 référentiels Bitbucket pour abuser de ces ressources pour l'extraction de crypto-monnaie. En septembre dernier, l'équipe a mis au jour une campagne similaire qui exploitait des processus de construction automatisés sur GitHub et Docker Hub pour créer des mineurs de crypto-monnaie.

Les chercheurs ont déclaré que les pirates ont créé un processus d'intégration continue qui lance plusieurs processus de construction automatique toutes les heures. À chaque build, un cryptomineur Monero est exécuté.

Lors de l'attaque, les pirates ont créé plusieurs faux comptes de messagerie en utilisant un fournisseur de services de messagerie russe gratuit. Ils ont ensuite créé un compte Bitbucket avec quelques référentiels. Pour échapper à la détection, chacun s'est fait passer pour un projet bénin en utilisant la documentation officielle du projet.

Les hackers ont alors créé un hub Docker avec plusieurs registres. Chaque registre s'est présenté comme bénin, utilisant sa documentation pour échapper à la détection. Les images sont construites sur les environnements de ces fournisseurs de services, puis détournent leurs ressources pour exploiter la crypto-monnaie.

"Cette campagne montre la sophistication sans cesse croissante des attaques ciblant la pile native du cloud", déclare Assaf Morag d'Aqua Security. «Les mauvais acteurs font constamment évoluer leurs techniques pour détourner et exploiter les ressources de calcul cloud pour l'extraction de crypto-monnaie. Cela nous rappelle également que les environnements de développement dans le cloud représentent une cible lucrative pour les attaquants, car ils ne bénéficient généralement pas du même niveau de contrôle de sécurité."

Tim Mackey, stratège principal en matière de sécurité au Synopsys CyRC (Centre de recherche sur la cybersécurité), a déclaré à ITPro que les systèmes de construction utilisés pour créer des logiciels doivent toujours être sécurisés pour s'assurer qu'ils ne traitent que les demandes liées à des projets légitimes.

« Il y a plusieurs raisons à cela, mais la plus importante est de s'assurer que ce qui est construit est quelque chose qui doit être construit. Lorsque les systèmes de construction et les processus de construction sont déplacés vers des systèmes basés sur le cloud, le profil de risque du système de construction s'étend désormais également aux capacités du fournisseur de cloud. Alors que les principaux fournisseurs publics de services de création de logiciels, comme GitHub ou Docker, auront mis en place des protections pour limiter les risques pour les clients, comme le montre ce rapport, ils ne sont pas à l'abri des attaques », a déclaré Mackey.

Mackey a ajouté que ce modèle d'attaque devrait être une opportunité pour quiconque exploite un processus de construction basé sur le cloud, et pas seulement pour les fournisseurs de ces services.

"S'il existe un moyen pour un code ou une configuration non approuvé d'entrer dans votre système de construction, alors les actions effectuées par vos pipelines de construction pourraient être sous le contrôle d'un attaquant. Au minimum, la consommation de ressources pourrait atteindre un point où les travaux de construction ne progressent pas comme ils le devraient, une situation qui pourrait avoir un impact direct sur les calendriers de livraison », a-t-il déclaré.