近年来,随着云计算与DevOps技术的快速发展,企业在提升开发运维效率的同时,也面临着安全环境日益复杂严峻的挑战。Docker、HashiCorp Nomad、HashiCorp Consul及Gitea等热门DevOps工具,因其广泛应用于容器管理、服务编排和代码托管,成为网络攻击者的新宠。2025年初,安全研究团队Wiz曝光了一起针对这些服务器的加密劫持(Cryptojacking)攻击活动,攻击者利用系统配置错误或软件漏洞,在目标服务器非法部署加密货币挖矿工具XMRig,牟取非法利益。 此次攻击由被追踪为JINX-0132的黑客组织实施,其利用被错误暴露于互联网的DevOps服务器,直接从公开的GitHub库下载最新版本的XMRig,无需自定义恶意软件即可实现远程挖矿。攻击者凭借对HashiCorp Nomad和Consul默认配置中的安全缺陷了解,利用Nomad的开放API接口和Consul的健康检查机制,实现任务作业注入和远程代码执行。尤其值得关注的是,HashiCorp Nomad此前未被明确报道在真实攻击场景中被利用,显示其默认并非安全需要借助访问控制列表(ACLs)强化安全策略。
详细来看,HashiCorp Nomad作为简洁的调度与编排工具,允许通过服务器API提交作业。默认配置下,任何拥有API访问权限的用户都能向Nomad添加作业,JINX-0132正是利用这一缺陷,创建多个伪装任务,执行下载、解包及运行XMRig进程,消耗服务器CPU与内存资源进行Monero加密货币挖矿。这种“零日配置”风险表明,即使预算充足的大型组织,也可能因安全策略疏忽而陷入风险境地。 与此类似,HashiCorp Consul的服务网络管理能力也存在配置隐患。攻击者借助Consul的健康检查功能注入恶意bash命令,绕过安全限制,完成远程代码执行。默认情况下允许任何远程用户注册健康检查,攻击者正是利用此点执行恶意代码,进一步扩展对目标服务器的控制。
这一过程透露出Consul未开启ACLs保护时的潜在风险,强化了配置安全的重要性。 除了HashiCorp工具外,Gitea作为自托管的轻量级Git管理平台,也成为本次加密劫持攻击的受害者。攻击方式较为多样,涉及历史漏洞及配置不当。例如CVE-2020-14144漏洞允许有权限的用户启用Git钩子(git hooks),借此注入带有操作系统权限的后续脚本,间接完成挖矿任务。更早版本1.4.0则存在未经身份验证即可远程执行代码的缺陷,攻击者可通过Large File Storage(LFS)机制实现路径遍历读取配置文件,并伪造管理员会话,重置系统密码。此外,若Gitea的安装锁(INSTALL_LOCK)未激活,攻击者还可通过重复安装流程重置配置,造成安全失陷。
另一个不可忽视的安全隐患在于Docker API的暴露。Docker默认设计为内部服务,不应直接暴露于公网,但部分环境因误配置或便捷考虑,将API接口开放至互联网。此举无异于为攻击者打开了“后门”,使其可执行具根权限的命令,轻松部署包含XMRig的恶意容器,实现远程代码控制。2025年4月,相关安全团队即曾报告类似针对Docker API的加密劫持活动,反映出这一问题仍持续存在。 据Wiz团队统计,约25%的云环境中运行着这些DevOps工具,其中超过5%的实例直接暴露于公网,30%存在安全配置缺陷。通过Shodan搜索,超过6700台HashiCorp相关实例遭外网暴露,遍布全球,尤其在中国和美国数量显著。
巨大的暴露面结合配置不严,给攻击者提供了可乘之机。 加密劫持攻击的本质是利用企业计算资源挖掘加密货币,隐秘且利益驱动强烈。攻击者优先选取配置松懈、权限管理缺陷的系统进行入侵。开源矿工XMRig由于免费且灵活,成为加密劫持的首选工具。企业若无有效防护措施,会面临显著的财务与业务损失。 防御此类风险,需要多管齐下。
首先,部署HashiCorp Nomad及Consul时,应关闭默认的匿名访问权限,启用ACL权限管理,确保仅授权用户可提交作业及注册健康检查。认真检查服务器API暴露情况,杜绝不必要的对公网访问。对于Gitea服务器,应及时升级至官方推荐版本,关闭Git钩子创建权限,锁定安装流程,避免利用旧漏洞入侵。此外,Docker API接口应严格限制网络访问范围,避免直接面向互联网。 日常安全运维还需结合自动化扫描与监控工具,对暴露服务进行定期检测,及时发现异常作业或网络行为。采用入侵检测系统(IDS)及行为分析机制,可以早期识别并阻断加密劫持行为,保护服务器资源。
安全意识培训也是重要环节,促使开发运维人员遵循最小权限原则,加强安全配置意识。 总体而言,随着云基础设施规模提升,DevOps工具的安全配置显得尤为关键。攻击组织JINX-0132的加密劫持活动再次提醒业界,即便成熟套路的开源技术,也会因默认配置漏洞或者管理疏忽成为攻击载体。企业需持续关注安全动态,结合官方安全建议与实践策略,落实配置管理、安全加固及监控响应体系,提升整体安全韧性。未来攻防博弈中,预防永远胜于事后补救,才能守护企业数字资产与业务连续性,避免成为加密劫持的受害者。
![Build Your Spicy Empire and Stay Anonymous – How to Do Both [video]](/images/485DC450-42C5-4C58-82EF-31D2619CD768)
![Almost von Neumann, Definitely Gödel: The 2nd Incompleteness Theorem's Story [pdf]](/images/7F2BACC4-38C3-442E-91BE-5FEBBD041A15)