Pesquisadores da Wiz identificaram uma nova campanha de cryptojacking em larga escala que vem comprometendo servidores DevOps expostos, explorando APIs mal configuradas de soluções populares como Docker, Gitea, HashiCorp Consul e Nomad. A ofensiva, batizada de JINX-0132, chama atenção pelo uso de ferramentas públicas hospedadas no GitHub e pelo ineditismo na exploração do Nomad como vetor de ataque, ampliando os riscos para ambientes de nuvem e infraestrutura como código.
Campanha de cryptojacking JINX-0132 compromete APIs DevOps expostas usando ferramentas públicas do GitHub
Mineração ilícita de criptomoedas com ferramentas de código aberto
A campanha JINX-0132 se destaca por alavancar recursos legítimos e abertos, evitando criar infraestrutura própria. Os operadores do ataque utilizam repositórios GitHub para baixar ferramentas de mineração como o XMRig, mascarando suas ações e dificultando a rastreabilidade. A estratégia é vista como uma tentativa deliberada de dificultar a atribuição dos ataques, já que não há domínios ou servidores próprios envolvidos na disseminação dos malwares.
Com isso, instâncias comprometidas, especialmente do HashiCorp Nomad, podem gerenciar centenas de nós de clientes, resultando em consumo massivo de CPU e memória. Isso se traduz em custos de operação que poderiam chegar a dezenas de milhares de dólares mensais, destacando o alto potencial de lucro dos criminosos e o impacto financeiro para as vítimas.
APIs DevOps expostas: o elo fraco na segurança
O JINX-0132 explora uma série de configurações incorretas e vulnerabilidades conhecidas:
- Docker API: APIs expostas permitem que agentes de ameaça executem código malicioso ativando contêineres e invocando endpoints padrão, como
/containers/createe/containers/{id}/start. - Gitea: O Gitea, plataforma leve de hospedagem Git, pode permitir execução remota de código se instâncias públicas estiverem desbloqueadas (
INSTALL_LOCK=false) ou se um invasor tiver acesso a contas com permissões para criar hooks Git. A falha explorada inclui até versões antigas, como a 1.4.0. - Consul e Nomad: Ambos da HashiCorp, esses orquestradores podem ser manipulados por meio de APIs mal configuradas. No Consul, é possível adicionar serviços maliciosos com verificações de integridade que executam comandos Bash. No Nomad, a falta de segurança padrão permite criar e executar tarefas com acesso RCE completo.
Segundo dados da Shodan, há mais de 5.300 servidores Consul e 400 servidores Nomad expostos globalmente, com foco em regiões como China, EUA, Alemanha, Finlândia e Singapura — um cenário alarmante para empresas que adotam DevOps sem o devido controle de acesso.
Ataques também visam sistemas com IA mal configurados
Em paralelo à campanha JINX-0132, pesquisadores da Sysdig relataram outra ofensiva preocupante: um ataque a sistemas Linux e Windows que utilizam o Open WebUI, uma interface para integrar scripts com modelos de linguagem (LLMs). Nessa campanha, criminosos exploram sistemas com o WebUI exposto para carregar scripts Python que executam mineradores como T-Rex e XMRig, além de estabelecer persistência com systemd e comunicação via webhook do Discord.
Esse ataque também incorpora técnicas avançadas de evasão, como o uso de bibliotecas processhider e argvhider, dificultando a detecção da mineração em ambientes Linux.
Conclusão: DevOps exposto é convite aberto ao abuso
A crescente sofisticação das campanhas de cryptojacking como a JINX-0132 reforça a urgência em revisar configurações de APIs e serviços expostos em ambientes de desenvolvimento e produção. O uso de ferramentas públicas como o GitHub não apenas barateia os custos operacionais dos atacantes como também torna as campanhas mais difíceis de rastrear.
Empresas devem adotar segurança por padrão, aplicar restrições de rede, autenticação reforçada e monitoramento contínuo para minimizar brechas. O futuro da segurança DevOps exigirá não apenas velocidade na entrega, mas vigilância constante sobre quem e como interage com seus serviços.
