Hackers estão explorando servidores PostgreSQL mal configurados para instalar mineradores de criptomoedas sem deixar rastros no disco, dificultando a detecção dos ataques. Pesquisadores da Wiz identificaram que essa campanha, associada ao grupo JINX-0126, comprometeu mais de 1.500 servidores, utilizando uma variante do malware PG_MEM, que já havia sido documentado anteriormente pela Aqua Security. O ataque se aproveita de senhas fracas e previsíveis em servidores expostos, tornando-os alvos fáceis para invasores.
Leia também
Publicação de POC deflagra ataques ao CrushFTP
Simulação leva LLMs a criarem jailbreaks
A tática principal envolve o uso do comando SQL “COPY … FROM PROGRAM”, que permite a execução de comandos shell diretamente do banco de dados, garantindo acesso ao sistema. A partir disso, os atacantes baixam um script shell criptografado que remove mineradores concorrentes e injeta um binário malicioso chamado PG_CORE. Esse código é projetado para evitar a detecção por sistemas de segurança tradicionais, pois não gera arquivos no disco.
O ataque também envolve a instalação de um binário Go disfarçado de “postmaster”, imitando o servidor PostgreSQL legítimo para manter persistência. Esse componente cria tarefas cron, contas privilegiadas e instala outro arquivo chamado cpu_hu, que carrega e executa o XMRig, um minerador de Monero. O XMRig é executado diretamente na memória usando a técnica memfd do Linux, eliminando a necessidade de um executável persistente no disco e reduzindo as chances de identificação por softwares de segurança.
Os pesquisadores analisaram as carteiras de criptomoedas ligadas ao ataque e descobriram que cada uma delas possuía aproximadamente 550 mineradores ativos. Isso confirma que, ao menos, 1.500 servidores foram comprometidos e estão sendo utilizados para mineração ilícita. A operação é altamente eficaz porque combina técnicas avançadas de evasão de segurança com a exploração de falhas comuns na configuração do PostgreSQL.
Para evitar esse tipo de ataque, é essencial reforçar a segurança dos servidores PostgreSQL, utilizando senhas fortes e únicas, além de restringir o acesso remoto indevido. Monitoramento de atividades suspeitas e a implementação de soluções que detectam processos executados apenas na memória também podem ajudar a mitigar o risco. Essa campanha reforça a importância de uma abordagem proativa na segurança de bancos de dados expostos na internet.
