.
Uma operação furtiva de mineração de criptomoedas foi detectada usando milhares de contas gratuitas no GitHub, Heroku e outros equipamentos de DevOps para criar tokens digitais. O GitHub, por exemplo, proíbe a mineração de moedas usando seus recursos de nuvem.
A equipe de pesquisa de ameaças Sysdig disse na Kubecon esta semana que descobriu a atividade, apelidada de Purpleurchin. Especificamente, os pesquisadores descobriram que mais de 30 contas de devops GitHub, 2.000 Heroku e 900 Buddy – além de contas com outros provedores de serviços de integração e implantação contínuas (CI/CD) – sendo abusadas para alimentar silenciosamente as operações de geração de ativos criptográficos da Purpleurchin.
Embora vasculhar recursos de computação em nuvem para minerar moedas não seja uma tática nova – e geralmente contra os termos de serviço – as pessoas por trás desse empreendimento específico empregaram várias técnicas sofisticadas de automação e ofuscação, nos disseram.
A Sysdig estimou que cada uma dessas 30 contas gratuitas do GitHub custam à gigante da Microsoft US$ 15 por mês, e as contas de nível gratuito da Heroku, Buddy e outras custam aos provedores entre US$ 7 e US$ 10 por mês. “Nessas taxas, custaria a um provedor mais de US$ 100.000 para um agente de ameaças minerar um Monero (XMR)”, disse Crystal Morin, pesquisadora da Sysdig. reivindicado. Um XMR vale US $ 146 agora.
Os provedores de serviços, é claro, não vão simplesmente arcar com os custos desnecessários. Eles os repassarão para clientes legítimos e pagantes, o que significa preços mais altos de computação em nuvem, sugere-se.
Além disso, as operações de mineração ilícitas que consomem recursos de computação também podem afetar o desempenho dos aplicativos dos clientes pagantes, o que torna essa atividade nefasta duplamente cara para as empresas que usam esses serviços em nuvem.
Purpleurchin pode estar interessado na moeda, sugeriu Morin, embora valha a pena notar que as criptomoedas que a gangue atualmente minera – Tidecoin Onyx, Surgarchain, Sprint, Yenten, Arionum, MintMe e Bitweb – têm margens de lucro baixas.
“Podemos dizer com uma confiança média que o ator está experimentando moedas diferentes”, acrescentou Morin. Portanto, é possível que os criminosos vejam isso como um “teste de baixo risco e baixa recompensa” antes de passar para Monero ou Bitcoin, que são de maior valor, mas também monitorados mais de perto pelas autoridades.
Também é possível que Purpleurchin esteja usando suas operações de mineração para se preparar para um assalto maior, no qual eles atacam a blockchain subjacente e roubar milhões de dólares em criptomoeda.
“Esta operação em larga escala pode ser um chamariz para outras atividades nefastas”, disse Morin, observando APT32operações anteriores de criptomineração que permitiram aos ciberespiões acesso persistente à rede para sua campanha de espionagem.
Como Purpleurchin evita a detecção
Primeiro, a gangue do crime usa mais de 130 imagens do Docker Hub – mas apenas entre duas e seis imagens recebem atualizações por vez, o que pode impedir que o Docker Hub bloqueie ou escaneie sua atividade.
Além disso, cada repositório do GitHub é criado e usado em um ou dois dias. “Também testemunhamos alguns dos repositórios que estavam gerando Actions desaparecerem”, disse Morin. “Isso pode ser o GitHub derrubando as contas nefastas ou o ator excluindo contas quando atingem os limites de conta de nível gratuito”.
Além disso, o contêiner linuxapp – que atua como o contêiner de comando e controle e o servidor de retransmissão stratum, recebendo conexões dos agentes de mineração – executa o No Dev-Fee Stratum Proxy, um software de proxy stratum de código aberto para evitar taxas de proxy.
Para automatizar o fluxo de trabalho, o Purpleurchin cria uma conta e um repositório do GitHub e, em seguida, executa um script de shell, que executa GitHub Actions para executar operações de mineração e tenta disfarçar essas operações nomeando-as com strings aleatórias.
Na análise técnica do Sysdig, o script chama um arquivo nodejs index.js para iniciar um minerador Tidecoin que usa um algoritmo de mineração baseado em CPU chamado yespower. Isso é notável, nos dizem, porque os mineradores geralmente usam o XMRig baixado diretamente do GitHub. Além disso, estas são moedas de baixo lucro sendo extraídas.
“Nossa teoria aqui é que o agente da ameaça está escolhendo essas moedas com base no algoritmo yespower porque o processo de mineração pode ser gerado a partir do pai do nodejs, ajudando a evitar a detecção”, escreveu Morin.
O Purpleurchin também encontrou maneiras de contornar as proteções de bots que os provedores de serviços usam para impedir a criação fraudulenta de contas automáticas. Isso inclui o uso do OpenVPN para garantir um endereço IP diferente para cada conta, um navegador da Web Brave para registro e um pacote Python chamado Wit para reconhecimento de fala de arquivos de áudio .wav para permitir que os malfeitores aproveitem a opção de áudio do sistema CAPTCHA para passar o teste sim-eu-sou-humano.
Enquanto os robôs fazem todo o trabalho, as pessoas por trás do Purpleurchin lucram com a moeda – embora muito lentamente, pelo menos por enquanto. E o resto de nós fica com a conta. ®
.
