AWS 凭证泄露与加密挖矿攻击

关键要点

• 威胁者从公开的 GitHub 存储库中克隆以获取 AWS 凭证。
• 这些凭证被用于部署 Monero 挖矿实例。
• 攻击者可能找到这些未被 AWS 自动检测的凭证。
• 研究人员建议独立采取 CI/CD 安全措施。

最近的报告指出，自 2020 年开始的 EleKtra-Leak 加密挖矿活动，威胁者通过公开的 GitHub 存储库获取了 Amazon WebServices (AWS) 的凭证。根据
的报道，这些被盗的 AWS 凭证随后被用于部署 Amazon Elastic Compute Cloud (EC2) 实例进行 Monero 挖矿。

来自 Palo Alto Networks 的 Unit 42 的报告显示，从 8 月 30 日到 10 月 6 日，攻击者控制的 EC2 实例运营了
474 个挖矿程序。研究人员指出：“我们相信，威胁者能够找到未被 AWS 自动检测的暴露 AWS 密钥，并在 AWS 的 Compromised KeyQuarantine政策之外控制这些密钥。根据我们的证据，他们可能成功了。在这种情况下，威胁者可以继续攻击，而无需担心政策会干扰他们的恶意行为来盗取受害者的资源。”

此外，研究人员补充道，攻击者也使用了其他方法来获取 AWS 登录凭证，同时绕过 AWS 政策。因此，在这种背景下，独立地采取 CI/CD安全措施显得尤为重要。

建议： 为了防止 AWS 凭证泄露，开发团队应定期评估其 CI/CD 流水线的安全性，并采取必要的安全措施。

使用 AWS 的公司和开发者应该对外部风险保持警惕，确保他们的凭证不会被泄露。这一事件再次强调了在开发流程中融入安全策略的重要性。