Herramientas de DevOps públicas son blanco de criminales para robar criptomonedas.

Investigadores de seguridad han descubierto que ciertos errores de configuración en populares herramientas públicas de DevOps están siendo explotados por ciberdelincuentes para instalar mineros de criptomonedas. Esta actividad no solo genera tokens valiosos, sino que también incrementa significativamente las facturas de electricidad y computación para sus víctimas.

El equipo de investigación de Wiz ha vinculado esta actividad a un grupo de amenazas conocido como JINX-0132. Este grupo se centra en varias herramientas de DevOps, destacando cuatro en particular: Nomad, Consul, Docker Engine API y Gitea.

Descripción de las herramientas

• Nomad: Desarrollada por HashiCorp, es un orquestador de cargas de trabajo que administra la implementación de contenedores, máquinas virtuales y aplicaciones independientes en clústeres.
• Consul: También de HashiCorp, es una solución de networking de servicios que facilita el descubrimiento de servicios, revisiones de salud, configuración y segmentación para aplicaciones distribuidas.
• Docker Engine API: Esta API RESTful permite a los desarrolladores y herramientas de automatización interactuar con el demonio de Docker para gestionar contenedores, imágenes, redes y volúmenes.
• Gitea: Un servicio de Git auto alojado que ofrece alojamiento de código fuente, seguimiento de problemas, revisión de código y herramientas de desarrollo colaborativo a través de una interfaz web.

Los investigadores han señalado que el abuso de configuraciones erróneas puede pasar desapercibido para los defensores, especialmente si la aplicación afectada no es reconocida como un posible vector de ataque. Un rasgo distintivo de JINX-0132 es su aparente intento de evitar identificadores únicos que puedan ser utilizados en los indicadores de compromiso. En lugar de trabajar con servidores controlados por los atacantes, descargan herramientas directamente desde repositorios públicos de GitHub.

La magnitud del problema es alarmante, ya que se estima que hasta un 25% de los usuarios de la nube podrían estar en riesgo. Según el informe, dicho porcentaje corresponde a entornos en la nube que utilizan al menos una de las cuatro tecnologías mencionadas. Además, se indicó que alrededor del 20% de estos entornos están corriendo HashiCorp Consul.

Entre los entornos que utilizan estas herramientas, un 5% las expone directamente a Internet, y de aquellos que están expuestos, un 30% presenta configuraciones erróneas. Para mitigar estos riesgos, se recomienda a las empresas implementar controles de acceso rígidos, realizar auditorías de seguridad periódicas y llevar a cabo evaluaciones de vulnerabilidades con frecuencia. También es crucial no retrasar la aplicación de parches y monitorear los sistemas en busca de uso anómalo de recursos.

Por último, es fundamental asegurar los entornos de DevOps contra configuraciones erróneas, restringir la ejecución de comandos no autorizados y fortalecer las medidas de autenticación.