Pesquisadores de segurança cibernética descobriram a primeira campanha ilícita de mineração de criptomoeda usada desde o início de fevereiro de 2023.

“A nova operação de criptojacking da Dero concentra-se na localização de clusters Kubernetes com acesso anônimo habilitado em uma API Kubernetes e escuta em portas não padrão acessíveis pela Internet”, disse a CrowdStrike em um novo relatório.

Os ataques, atribuídos a um ator desconhecido com motivação financeira, começam com a verificação de clusters Kubernetes com autenticação definida como –anonymous-auth=true, que permite solicitações anônimas ao servidor para descartar cargas iniciais de três endereços IP diferentes baseados nos EUA.

Isso inclui a implantação de um Kubernetes DaemonSet chamado “proxy-api”, que, por sua vez, é usado para soltar um pod malicioso em cada nó do cluster Kubernetes para iniciar a atividade de mineração.

Esta é uma indicação da disputa contínua entre grupos de cryptojacking que estão disputando os recursos da nuvem para obter e manter o controle das máquinas e consumir todos os seus recursos.