AccueilActualités* Les attaquants exploitent des API Docker mal configurées pour miner des cryptomonnaies dans des environnements cloud.
Ils utilisent le réseau Tor pour cacher leurs activités tout en déployant des mineurs de crypto.
Les attaquants accèdent, créent de nouveaux conteneurs et montent des répertoires système critiques, risquant des évasions de conteneurs.
L'attaque consiste à installer des outils et des scripts pour configurer un accès à distance, collecter des données et installer le mineur XMRig.
Les découvertes récentes montrent des centaines de références d'identifiants divulguées dans des dépôts de code publics, exposant ainsi les entreprises à un risque accru.
Une campagne active cible les instances Docker mal configurées pour miner secrètement des cryptomonnaies, selon les résultats des chercheurs de Trend Micro publiés en juin 2025. Les attaquants exploitent apparemment des API Docker mal configurées, utilisant le réseau Tor pour rester anonymes tout en déployant des outils de minage de cryptomonnaies sur des conteneurs vulnérables hébergés dans le cloud.
Publicité - Les chercheurs ont observé que l'attaque commence généralement par une demande à l'API Docker pour récupérer une liste de conteneurs sur l'hôte. S'il n'existe aucun conteneur, les attaquants créent un nouveau conteneur en utilisant l'image "alpine" et montent le répertoire racine du système hôte en tant que volume partagé. Cette étape peut permettre aux attaquants de contourner l'isolation des conteneurs et d'accéder aux fichiers sur la machine hôte, augmentant ainsi le risque de compromission plus large du système.
Trend Micro déclare qu’après avoir établi un nouveau conteneur, les attaquants exécutent un script shell encodé en Base64 pour installer Tor dans le conteneur. Ils téléchargent et exécutent ensuite un script distant hébergé sur une adresse .onion, en utilisant des outils et des paramètres tels que « socks5h » pour acheminer tout le trafic via Tor. Selon les chercheurs, « il s’agit d’une tactique courante utilisée par les attaquants pour masquer l’infrastructure (C&C) de commande et de contrôle, éviter la détection et diffuser des logiciels malveillants ou des mineurs dans des environnements cloud ou de conteneurs compromis », ajoutant que cette méthode complique les efforts visant à retracer l’origine de l’attaque.
Une fois l’environnement configuré, les attaquants déploient un script shell nommé « docker-init.sh ». Ce script vérifie si le répertoire « /hostroot » est monté, modifie les configurations SSH pour activer les connexions root et ajoute la clé SSH d’un attaquant pour un accès futur. Des outils supplémentaires, tels que masscan et torsocks, sont installés, ce qui permet aux attaquants d’analyser les réseaux et d’échapper à la détection. L’attaque culmine avec l’installation d’un mineur de crypto-monnaie XMRig, configuré avec des adresses de portefeuille et des pools de minage contrôlés par les acteurs de la menace.
Trend Micro note que cette activité cible principalement les secteurs de la technologie, de la finance et de la santé. La société met également en évidence un risque de sécurité connexe après que Wiz a découvert que des centaines d’informations d’identification sensibles ont fait surface dans des référentiels publics, y compris des fichiers dans des notebooks Python et des fichiers de configuration d’applications, avec des organisations touchées allant des startups aux entreprises du Fortune 100. Les chercheurs mettent en garde contre le fait que les résultats de l’exécution de code dans des notebooks Python partagés peuvent révéler des informations précieuses aux attaquants capables de les relier à leurs sources.
La tendance souligne l'importance de sécuriser les environnements cloud et de conteneurs, surtout alors que les attaquants continuent d'automatiser les exploits et de rechercher des identifiants exposés dans les dépôts de code publics.
Articles Précédents :
Mastercard rejoint le réseau mondial de dollars Paxos pour renforcer les stablecoins
Les marchés cryptographiques se redressent alors que Trump négocie un cessez-le-feu entre l'Iran et Israël
La Réserve fédérale abandonne le « risque réputationnel » dans la supervision bancaire
Les responsables de Fort Myers luttent contre la hausse des escroqueries aux guichets automatiques de crypto-monnaie visant les personnes âgées
ETH monte de 8 % après l'annonce d'un cessez-le-feu entre Israël et l'Iran par Trump
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Des attaquants abusent des API Docker et de Tor pour lancer un cryptojacking dans le cloud.
AccueilActualités* Les attaquants exploitent des API Docker mal configurées pour miner des cryptomonnaies dans des environnements cloud.
Trend Micro déclare qu’après avoir établi un nouveau conteneur, les attaquants exécutent un script shell encodé en Base64 pour installer Tor dans le conteneur. Ils téléchargent et exécutent ensuite un script distant hébergé sur une adresse .onion, en utilisant des outils et des paramètres tels que « socks5h » pour acheminer tout le trafic via Tor. Selon les chercheurs, « il s’agit d’une tactique courante utilisée par les attaquants pour masquer l’infrastructure (C&C) de commande et de contrôle, éviter la détection et diffuser des logiciels malveillants ou des mineurs dans des environnements cloud ou de conteneurs compromis », ajoutant que cette méthode complique les efforts visant à retracer l’origine de l’attaque.
Une fois l’environnement configuré, les attaquants déploient un script shell nommé « docker-init.sh ». Ce script vérifie si le répertoire « /hostroot » est monté, modifie les configurations SSH pour activer les connexions root et ajoute la clé SSH d’un attaquant pour un accès futur. Des outils supplémentaires, tels que masscan et torsocks, sont installés, ce qui permet aux attaquants d’analyser les réseaux et d’échapper à la détection. L’attaque culmine avec l’installation d’un mineur de crypto-monnaie XMRig, configuré avec des adresses de portefeuille et des pools de minage contrôlés par les acteurs de la menace.
Trend Micro note que cette activité cible principalement les secteurs de la technologie, de la finance et de la santé. La société met également en évidence un risque de sécurité connexe après que Wiz a découvert que des centaines d’informations d’identification sensibles ont fait surface dans des référentiels publics, y compris des fichiers dans des notebooks Python et des fichiers de configuration d’applications, avec des organisations touchées allant des startups aux entreprises du Fortune 100. Les chercheurs mettent en garde contre le fait que les résultats de l’exécution de code dans des notebooks Python partagés peuvent révéler des informations précieuses aux attaquants capables de les relier à leurs sources.
La tendance souligne l'importance de sécuriser les environnements cloud et de conteneurs, surtout alors que les attaquants continuent d'automatiser les exploits et de rechercher des identifiants exposés dans les dépôts de code publics.
Articles Précédents :