Thought Leadership
Sicherheitsforscher der Firma Wiz haben eine neue Kampagne namens JINX-0132 aufgedeckt, bei der öffentlich erreichbare DevOps-Systeme wie Docker, Gitea, HashiCorp Consul und Nomad gezielt kompromittiert werden, um Kryptowährungen wie Monero zu schürfen.
Die Täter nutzen dabei bekannte Fehlkonfigurationen und Schwachstellen, um Schadcode in Form von Mining-Software einzuschleusen.
Missbrauch von Nomad erstmals dokumentiert
Ein besonderes Merkmal der Kampagne: Erstmals wurde eine Ausnutzung von Fehlkonfigurationen in HashiCorp Nomad dokumentiert. Die Angreifer nutzten offene API-Zugänge aus, um über sogenannte “Jobs” eigene Prozesse auf den Zielsystemen zu starten. Diese Jobs laden direkt von GitHub die Mining-Software XMRig herunter und führen sie aus. Die Systeme, die durch Nomad verwaltet werden, verfügen oft über immense Rechenkapazität – deren Nutzung durch die Angreifer würde regulär Kosten in fünfstelliger Höhe pro Monat verursachen.
GitHub als Tarnung für Schadsoftware
Statt eigene Server zur Verteilung der Malware zu verwenden, setzen die Täter bewusst auf frei zugängliche GitHub-Repositories. Diese Strategie erschwert es, die Herkunft der Angriffe eindeutig zuzuordnen – ein bewusster Schritt zur Verschleierung.
Auch Gitea, eine Git-Hosting-Lösung, wird für den Erstzugriff ausgenutzt. In bestimmten Versionen (z. B. 1.4.0) oder bei nicht gesperrtem Installationsmodus kann Code aus der Ferne ausgeführt werden – insbesondere dann, wenn ein Angreifer Zugriff auf einen legitimen Benutzer mit Berechtigung zur Einrichtung von Git-Hooks hat.
Docker bleibt weiterhin ein beliebtes Ziel: Offen erreichbare Docker-APIs ermöglichen es Angreifern, Container zu starten, die direkt Mining-Software enthalten oder sogar auf das Host-Dateisystem zugreifen. Dabei werden übliche Endpunkte wie /containers/create oder /containers/start verwendet.
Consul-Server ermöglichen Codeausführung
Fehlkonfigurationen in HashiCorp Consul ermöglichen es Angreifern, sogenannte Health Checks zu manipulieren. Diese enthalten Bash-Befehle, die dann auf den Servern ausgeführt werden. Auch hier wurde beobachtet, dass Mining-Software über diesen Weg installiert wurde – versteckt hinter harmlos wirkenden Diensten.
Laut Daten von Shodan sind weltweit über 5.300 Consul- und 400 Nomad-Server öffentlich erreichbar – insbesondere in Ländern wie China, den USA, Deutschland, Singapur und den Niederlanden. Dies zeigt, wie verbreitet unsichere DevOps-Systeme im Netz sind.
Open WebUI: Neue Einfallstore über KI-Plugins
Parallel zu JINX-0132 entdeckten Forscher von Sysdig eine weitere Malware-Kampagne, bei der Open WebUI, eine Oberfläche für KI-Plugins, ausgenutzt wird. Die Angreifer luden ein manipuliertes Python-Skript hoch, das wiederum Mining-Software wie T-Rex und XMRig ausführte. Auf Linux-Systemen versteckte sich der Mining-Prozess durch Libraries wie processhider, während auf Windows-Systemen zusätzlich ein Java-Loader eingesetzt wurde, der weitere schädliche Module startete.
Ein weiteres Ziel: Zugangsdaten zu Discord und Kryptowallets, die durch spezielle Dateien (INT_J.DAT) von Chrome-Browser-Erweiterungen gestohlen wurden.
Die aktuelle Angriffswelle zeigt deutlich, wie kritisch unbeachtete oder falsch konfigurierte Schnittstellen in modernen DevOps-Umgebungen sind. Ob Docker, Gitea, Consul oder Open WebUI – sobald Systeme ohne angemessene Sicherheitsvorkehrungen im Internet erreichbar sind, bieten sie eine attraktive Angriffsfläche für Cyberkriminelle. Die Vorfälle unterstreichen die Notwendigkeit für konsequente Sicherheitsüberprüfungen und härtere Standardkonfigurationen.
