Uma equipe da empresa de segurança cibernética Aqua Security descobriu que, no período de apenas quatro dias, os invasores configuraram 92 registros maliciosos Docker Hub e 92 repositórios Bitbucket para explorar os seus recursos. O Docker Hub é a maior biblioteca de imagens de contêiner de fornecedores de software e de projetos da comunidade de código aberto. Já o Bitbucket é um serviço de hospedagem de projetos controlados através do Mercurial, um sistema de controle de versões distribuído. É similar ao GitHub e tem um serviço grátis e um comercial.
“Os hackers criam um processo de integração contínua que a cada hora inicia vários processos de autoconstrução e, a cada construção, um criptominerador Monero é executado”, disse o principal analista de dados da Aqua Security, Assaf Morag, à Infosecurity.
A cadeia de crimes é bastante direta. Primeiro, os invasores registram várias contas de e-mail falsas usando um provedor russo. Daí, então, eles configuram uma conta Bitbucket com vários repositórios. Eles usam a documentação oficial para parecerem legítimos. E fazem algo semelhante com o Docker Hub, criando uma conta com vários registros vinculados. As imagens são construídas em ambientes Docker Hub/Bitbucket e subsequentemente sequestram seus recursos para minerar criptomoeda.
Veja isso
Botnet usa DevOps para se manter ágil e garantir novas cargas e exploits
DevOps: Violações se dão através de componentes de código aberto
Morag concluiu que ambientes de desenvolvimento de software como esses são alvos cada vez mais visados criminosos cibernéticos, visto que são frequentemente esquecidos pelas equipes de segurança.
“Essa campanha mostra a sofisticação cada vez maior de ataques direcionados à pilha nativa de nuvem. Os hackers estão constantemente evoluindo suas técnicas para sequestrar e explorar recursos de computação em nuvem para mineração de criptomoedas”, alerta o analista. “Como sempre, recomendamos que tais ambientes tenham controles de acesso estritos, autenticação e aplicação de privilégios mínimos, mas também monitoramento contínuo e restrições nas conexões de rede de saída para evitar roubo de dados e abuso de recursos.”
A descoberta ocorre poucos meses depois que a Aqua Security detectou uma campanha semelhante. Em setembro do ano passado, ela descobriu uma campanha direcionada aos processos de construção automatizados do Docker Hub e GitHub. Os serviços afetados foram notificados e bloquearam o ataque naquele momento.
“Os sistemas de construção usados para criar software devem sempre ser protegidos para garantir que processem apenas solicitações relacionadas a projetos legítimos. Existem muitas razões para isso, mas a mais importante delas é garantir que o que está sendo construído é algo que deve ser construído”, aconselha o principal estrategista de segurança da Synopsys, Tim Mackey.
