Les cryptojackers volent les informations d’identification AWS sur GitHub en 5 minutes.

Les chercheurs en sécurité ont découvert une campagne de cryptojacking multi-annuelle qu’ils prétendent cloner automatiquement les dépôts GitHub et voler leurs identifiants AWS exposés. baptisée « EleKtra-Leak » par les chercheurs de Unit 42 de Palo Alto Networks, les criminels derrière la campagne sont crédités d’avoir régulièrement volé des identifiants AWS dans les cinq minutes suivant leur exposition dans les dépôts GitHub. Quelques minutes plus tard, plusieurs instances Amazon Elastic Compute Cloud (EC2) peuvent être lancées dans autant de régions que possible pour extraire du Monero. Au cours d’un mois et demi, entre le 30 août et le 6 octobre, les chercheurs ont identifié 474 mineurs différents exploités par des instances EC2 « potentiellement contrôlées par un acteur ». Les premiers tests ont montré que la fonction de numérisation secrète de GitHub fonctionnait largement comme prévu, notifiant AWS d’un identifiant exposé dans un dépôt avec le fournisseur de cloud puis émettant une politique pour prévenir toute utilisation abusive en quelques minutes. « Nous pensons que l’acteur menaçant pourrait être capable de trouver des clés AWS exposées qui ne sont pas détectées automatiquement par AWS et, par conséquent, de contrôler ces clés en dehors de la politique AWSCompromisedKeyQuarantine », ont déclaré William Gamazo et Nathaniel Quist, chercheur principal et responsable de la recherche sur les menaces dans le cloud chez Unit 42, respectivement.

Share the Post: