Pesquisadores de cibersegurança alertaram sobre uma campanha de cryptojacking em andamento que visa clusters Kubernetes mal configurados para minerar criptomoeda. O ator de ameaça abusou do acesso anônimo a um cluster exposto à internet para lançar imagens de contêineres maliciosos hospedados no Docker Hub, alguns dos quais têm mais de 10.000 downloads. O acesso inicial é obtido direcionando servidores API Kubernetes acessíveis externamente com autenticação anônima ativada para entregar os payloads do minerador.

O minerador de criptomoeda é um binário de código aberto escrito em Go, modificado para codificar o endereço da carteira e URLs personalizadas do pool de mineração Dero. Também é ofuscado usando o empacotador UPX de código aberto para resistir à análise. A principal ideia é que, ao embutir a configuração de mineração dentro do código, é possível rodar o minerador sem argumentos de linha de comando, que são tipicamente monitorados por mecanismos de segurança.

“O atacante registrou domínios com nomes inocentes para evitar levantar suspeitas e melhor se misturar ao tráfego web legítimo, enquanto mascara a comunicação com pools de mineração bem conhecidos”, disseram os pesquisadores. Esse método de camuflagem mostra a sofisticação dos ataques, destacando a necessidade urgente de monitoramento e proteção adequados para os clusters Kubernetes e outros ambientes de contêineres, a fim de mitigar o risco de exploração por parte de atores maliciosos.