Berita Rumah* Penyerang memanfaatkan API Docker yang dikonfigurasi dengan salah untuk menambang cryptocurrency di lingkungan cloud.
Mereka menggunakan jaringan Tor untuk menyembunyikan aktivitas mereka saat menerapkan penambang kripto.
Penyerang mendapatkan akses, membuat kontainer baru, dan memasang direktori sistem kritis, yang berisiko terjadinya pelarian kontainer.
Serangan melibatkan pemasangan alat dan skrip untuk mengatur akses jarak jauh, mengumpulkan data, dan memasang penambang XMRig.
Temuan terbaru menunjukkan ratusan kredensial yang bocor di repositori kode publik, mengekspos perusahaan pada risiko lebih lanjut.
Sebuah kampanye aktif menargetkan instance Docker yang salah konfigurasi untuk secara diam-diam menambang cryptocurrency, menurut temuan oleh peneliti Trend Micro yang dirilis pada Juni 2025. Penyerang dilaporkan mengeksploitasi API Docker yang salah konfigurasi, menggunakan jaringan Tor untuk tetap anonim saat mereka menerapkan alat penambangan crypto ke kontainer yang rentan yang dihosting di cloud.
Iklan - Peneliti mengamati bahwa serangan biasanya dimulai dengan permintaan ke API Docker untuk mengambil daftar kontainer di host. Jika tidak ada kontainer yang ada, penyerang membuat kontainer baru menggunakan gambar "alpine" dan memasang direktori root sistem host sebagai volume bersama. Langkah ini dapat memungkinkan penyerang untuk melewati isolasi kontainer dan mengakses file di mesin host, meningkatkan risiko kompromi sistem yang lebih luas.
Trend Micro menyatakan bahwa setelah membuat kontainer baru, penyerang menjalankan skrip shell yang dikodekan Base64 untuk menginstal Tor di dalam kontainer. Mereka kemudian mengunduh dan mengeksekusi skrip jarak jauh yang dihosting di alamat .onion, menggunakan alat dan pengaturan seperti "socks5h" untuk merutekan semua lalu lintas melalui Tor. Menurut para peneliti, "Ini mencerminkan taktik umum yang digunakan oleh penyerang untuk menyembunyikan infrastruktur (C &C) perintah dan kontrol, menghindari deteksi, dan mengirimkan Malware atau penambang dalam lingkungan cloud atau kontainer yang disusupi," menambahkan bahwa metode ini mempersulit upaya untuk melacak asal serangan.
Setelah lingkungan diatur, penyerang menyebarkan skrip shell bernama "docker-init.sh." Skrip ini memeriksa apakah direktori "/hostroot" dipasang, mengubah konfigurasi SSH untuk mengaktifkan login root, dan menambahkan kunci SSH penyerang untuk akses di masa mendatang. Alat tambahan, seperti masscan dan torsocks, dipasang, memungkinkan penyerang untuk memindai jaringan dan menghindari deteksi lebih lanjut. Serangan ini memuncak dengan pemasangan penambang cryptocurrency XMRig, yang dikonfigurasi dengan alamat dompet dan kumpulan penambangan yang dikendalikan oleh pelaku ancaman.
Trend Micro mencatat bahwa aktivitas ini terutama menargetkan sektor teknologi, keuangan, dan kesehatan. Perusahaan juga menyoroti risiko keamanan terkait setelah Wiz menemukan bahwa ratusan kredensial sensitif telah muncul di repositori publik, termasuk berkas dalam buku catatan Python dan berkas konfigurasi aplikasi, dengan organisasi yang terpengaruh mulai dari startup hingga perusahaan Fortune 100. Para peneliti memperingatkan bahwa hasil dari eksekusi kode dalam buku catatan Python bersama dapat mengungkapkan informasi berharga kepada penyerang yang mampu menghubungkannya kembali ke sumbernya.
Tren ini menekankan pentingnya mengamankan lingkungan cloud dan kontainer, terutama karena penyerang terus mengotomatiskan eksploitasi dan mencari kredensial yang terpapar di repositori kode publik.
Artikel Sebelumnya:
Mastercard bergabung dengan Paxos Global Dollar Network untuk meningkatkan stablecoin
Pasar Kripto Reli saat Trump Menengahi Gencatan Senjata Iran-Israel
Federal Reserve Menghapus ‘Risiko Reputasi’ dalam Pengawasan Bank
Pejabat Fort Myers Menindak Keras Penipuan ATM Crypto yang Meningkat pada Lansia
ETH Melonjak 8% Setelah Trump Mengumumkan Gencatan Senjata Israel-Iran
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Penyerang Menyalahgunakan API Docker dan Tor untuk Meluncurkan Cryptojacking Cloud
Berita Rumah* Penyerang memanfaatkan API Docker yang dikonfigurasi dengan salah untuk menambang cryptocurrency di lingkungan cloud.
Trend Micro menyatakan bahwa setelah membuat kontainer baru, penyerang menjalankan skrip shell yang dikodekan Base64 untuk menginstal Tor di dalam kontainer. Mereka kemudian mengunduh dan mengeksekusi skrip jarak jauh yang dihosting di alamat .onion, menggunakan alat dan pengaturan seperti "socks5h" untuk merutekan semua lalu lintas melalui Tor. Menurut para peneliti, "Ini mencerminkan taktik umum yang digunakan oleh penyerang untuk menyembunyikan infrastruktur (C &C) perintah dan kontrol, menghindari deteksi, dan mengirimkan Malware atau penambang dalam lingkungan cloud atau kontainer yang disusupi," menambahkan bahwa metode ini mempersulit upaya untuk melacak asal serangan.
Setelah lingkungan diatur, penyerang menyebarkan skrip shell bernama "docker-init.sh." Skrip ini memeriksa apakah direktori "/hostroot" dipasang, mengubah konfigurasi SSH untuk mengaktifkan login root, dan menambahkan kunci SSH penyerang untuk akses di masa mendatang. Alat tambahan, seperti masscan dan torsocks, dipasang, memungkinkan penyerang untuk memindai jaringan dan menghindari deteksi lebih lanjut. Serangan ini memuncak dengan pemasangan penambang cryptocurrency XMRig, yang dikonfigurasi dengan alamat dompet dan kumpulan penambangan yang dikendalikan oleh pelaku ancaman.
Trend Micro mencatat bahwa aktivitas ini terutama menargetkan sektor teknologi, keuangan, dan kesehatan. Perusahaan juga menyoroti risiko keamanan terkait setelah Wiz menemukan bahwa ratusan kredensial sensitif telah muncul di repositori publik, termasuk berkas dalam buku catatan Python dan berkas konfigurasi aplikasi, dengan organisasi yang terpengaruh mulai dari startup hingga perusahaan Fortune 100. Para peneliti memperingatkan bahwa hasil dari eksekusi kode dalam buku catatan Python bersama dapat mengungkapkan informasi berharga kepada penyerang yang mampu menghubungkannya kembali ke sumbernya.
Tren ini menekankan pentingnya mengamankan lingkungan cloud dan kontainer, terutama karena penyerang terus mengotomatiskan eksploitasi dan mencari kredensial yang terpapar di repositori kode publik.
Artikel Sebelumnya: