根據 U.Today 報導,流行的開源持續整合 (CI) 伺服器 Jenkins 腳本控制台已被惡意行為者利用進行非法加密貨幣挖礦。 《駭客新聞》週二根據著名網路安全公司趨勢科技的調查結果發布了一份報告,披露了這項資訊。開發人員廣泛使用 Jenkins 來持續開發程式碼,克服了開發人員位於不同國家時可能出現的不規則提交和整合問題的挑戰。
Jenkins 平台具有 Groovy 腳本控制台,可讓開發人員在控制器或與其連接的代理程式中執行任意腳本。此功能主要用於故障排除和診斷,並且僅適用於具有管理權限的使用者。然而,趨勢科技警告稱,惡意行為者可能會利用此腳本控制台功能來利用配置錯誤的伺服器。執行未修補版本的 Jenkins 的開發人員特別容易受到這些加密劫持者的攻擊。
加密劫持者通常會部署一個惡意腳本,在安裝惡意挖礦軟體之前終止所有消耗大量 CPU 資源的進程。加密貨幣劫持是一種在 2018 年變得普遍的做法,目前仍構成重大威脅。今年早些時候,一名來自內布拉斯加州的加密貨幣劫持者因詐騙雲端運算公司以賺取約 100 萬美元的加密貨幣而被起訴。
儘管採取了適當的安全措施,未經授權的使用者仍無法存取腳本控制台。然而,配置錯誤的 Jenkins 部署仍然是挖掘加密貨幣的不良行為者的主要目標。該報告強調了正確的伺服器配置和使用更新的軟體版本來降低加密劫持風險的重要性。
