根据 U.Today 报导,流行的开源持续整合 (CI) 伺服器 Jenkins 脚本控制台已被恶意行为者利用进行非法加密货币挖矿。 《骇客新闻》周二根据著名网路安全公司趋势科技的调查结果发布了一份报告,披露了这项资讯。开发人员广泛使用 Jenkins 来持续开发程式码,克服了开发人员位于不同国家时可能出现的不规则提交和整合问题的挑战。
Jenkins 平台具有 Groovy 脚本控制台,可让开发人员在控制器或与其连接的代理程式中执行任意脚本。此功能主要用于故障排除和诊断,并且仅适用于具有管理权限的使用者。然而,趋势科技警告称,恶意行为者可能会利用此脚本控制台功能来利用配置错误的伺服器。执行未修补版本的 Jenkins 的开发人员特别容易受到这些加密劫持者的攻击。
加密劫持者通常会部署一个恶意脚本,在安装恶意挖矿软体之前终止所有消耗大量 CPU 资源的进程。加密货币劫持是一种在 2018 年变得普遍的做法,目前仍构成重大威胁。今年早些时候,一名来自内布拉斯加州的加密货币劫持者因诈骗云端运算公司以赚取约 100 万美元的加密货币而被起诉。
尽管采取了适当的安全措施,未经授权的使用者仍无法存取脚本控制台。然而,配置错误的 Jenkins 部署仍然是挖掘加密货币的不良行为者的主要目标。该报告强调了正确的伺服器配置和使用更新的软体版本来降低加密劫持风险的重要性。
