اخیراً یک باج‌افزار جدید به نام Luna توسط محققان Kaspersky Security شناسایی شده است و ادعا می‌شود که به زبان برنامه‌نویسی Rust نوشته شده است.

جزئیات آسیب‌پذیری
سیستم‌عامل‌های زیادی وجود دارند که می‌توانند با باج‌افزار Luna رمزگذاری شوند، از جمله: ویندوز، لینوکس و ESXi. ظاهراً Luna از طریق یک تبلیغ در یک انجمن باج‌افزار در دارک‌وب مشاهده شده است. به نظر می‌رسد که این باج‌افزار به گونه‌ای خاص طراحی شده است که تنها توسط هکرهای روسی زبان مورد استفاده قرار گیرد.
برخلاف سایر باج‌افزارها، گزینه‌های خط فرمان Luna بسیار ساده هستند و این برنامه هنوز در مراحل اولیه توسعه خود است. این را می‌توان به سادگی طراحی آن نسبت داد که قابلیت‌های برنامه را محدود می‌کند. برای ترکیب امنیت و سرعت بالا در این باج‌افزار، الگوریتم X25519 elliptic curve Diffie-Hellman و AES در پروتکل تبادل اصلی در این طرح استفاده شده است. در این روش، Curve25519 به عنوان یکی از اجزای عناصر اصلی، نقش حیاتی ایفا می‌کند. در این باج‌افزار، انتقال کد منبع به پلتفرم‌های مختلف با تغییرات نسبتاً کم، تنها چیزی است که مورد نیاز است.
همچنین محققان توانسته‌اند جزئیاتی در مورد باج‌افزار دیگری به نام Black Basta بدست آورند. این باج‌افزار از فوریه 2022 در دسترس بوده است اما به تازگی کشف شده است. در این باج‌افزار هر فایل رمزگذاری شده با پسوند . basta ذخیره می‌شود و یک فایل به نام readme.txt در هر پوشه ساخته می‌شود. علاوه بر این، باج‌افزار Black Basta می‌تواند با سیستم ویندوز در حالت امن، چندین راه‌حل امنیتی نقطه پایانی را دور بزند.

محصولات تحت تأثیر
کاربران ویندوز، لینوکس و ESXi تحت تأثیر این باج‌افزار قرار دارند.

توصیه‌های امنیتی
از آنجاییکه فعالیت باج‌افزار Luna به تازگی کشف شده است، در حال حاضر اطلاعات محدودی در مورد قربانیان این باج‌افزار در دسترس است اما این احتمال وجود دارد که کاربران بیشتری مورد حمله Luna قرار بگیرند.
منبع خبر:

https://gbhackers.com/hackers-attack-windows-linux-esxi-systems-using-rust-based-malware/

چندین ‫آسیب‌پذیری در داشبورد Nexus سیسکو افشا شده است که می‌تواند به یک مهاجم احراز هویت نشده اجازه دهد تا از راه دور دستورات دلخواه خود را اجرا کند، فایل‌های container image را بخواند یا بارگذاری کند و یا یک حمله CSRF را اجرا کند.
جزئیات آسیب‌پذیری
داشبورد Nexus به عنوان یک کلاستر مستقر شده است و هر گره سرویس را به دو شبکه متصل می‌کند:

• شبکه داده (fabric0, fabric1)
• شبکه مدیریت (mgmt0, mgmt1)

دامنه بهره‌برداری از این آسیب‌پذیری‌ها را می‌توان به رابط‌های شبکه‌ای محدود کرد. توضیحاتی که در ادامه خواهد آمد نشان می‌دهد که آیا شبکه داده، شبکه مدیریت یا هر دو شبکه در معرض آسیب‌پذیری هستند یا خیر.
آسیب‌پذیری‌ها به یکدیگر وابسته نیستند بدین معنی که بهره‌برداری از یکی از آنها ملزم به بهره‌برداری از آسیب‌پذیری‌های دیگر نیست. علاوه بر این، نسخه نرم‌افزاری که تحت تاثیر یکی از آسیب‌پذیری‌ها قرار می‌گیرد ممکن است تحت تاثیر آسیب‌پذیری‌های دیگر قرار نگیرد.

CVE-2022-20857: این آسیب‌پذیری با شدت بحرانی و CVSS Base Score 9.8 می‌تواند به یک مهاجم احراز هویت نشده اجازه دهد تا از راه دور به یک API خاص که در شبکه داده در حال اجرا است دسترسی داشته باشد و دستورات دلخواه را روی دستگاه آسیب‌دیده اجرا کند. آسیب‌پذیری مذکور، به دلیل کنترل‌های دسترسی ناکافی برای یک API خاص به وجود آمده است. یک مهاجم با ارسال درخواست‌های جعلی HTTP به این API آسیب‌پذیر، از این آسیب‌پذیری بهره‌برداری می‌کند. یک بهره‌برداری موفق مهاجم را قادر می‌سازد تا دستورات دلخواه خود را به عنوان کاربر روت در هر pod روی یک گره اجرا کند.
CVE-2022-20861: این آسیب‌پذیری با شدت بالا و CVSS Base Score 8.8، در رابط کاربری وب که در شبکه مدیریت داشبورد Nexus در حال اجراست، وجود دارد و می‌تواند به یک مهاجم احراز هویت نشده اجازه دهد تا از راه دور یک حمله CSRF را بر روی دستگاه آسیب‌دیده اجرا کند.
آسیب‌پذیری مذکور، به دلیل محافظت ناکافی در برابر حمله CSRF در رابط کاربری وب در یک دستگاه آسیب‌پذیر اتفاق میافتد. مهاجم می‌تواند با متقاعد کردن کاربر administrator برای کلیک کردن بر روی یک لینک مخرب، از این آسیب‌پذیری سوءاستفاده کند. یک بهره‌برداری موفق به مهاجم اجازه می‌دهد تا اقداماتی را با دسترسی‌های کاربر Administrator انجام دهد.
CVE-2022-20858: این آسیب‌پذیری با شدت بالا و CVSS Base Score 8.2، به بک مهاجم احراز هویت نشده اجازه می‌دهد تا از راه دور به سرویسی که در شبکه‌های داده و مدیریت دستگاه آسیب‌دیده در حال اجراست دسترسی پیدا کند.
آسیب‌پذیری مذکور به دلیل کنترل‌های دسترسی ناکافی برای سرویسی که container imagesها را مدیریت می‌کند اتفاق میافتد. مهاجم قادر است با باز کردن یک اتصال TCP به این سرویس آسیب‌پذیر، از این نقص سوءاستفاده کند. پس از یک بهره‌برداری موفق، مهاجم خواهد توانست container imagesها را دانلود کند یا container imagesهای مخرب را در دستگاه آسیب‌دیده آپلود کند.
این آسیب‌پذیری‌ها داشبورد Nexus را تحت تاثیر قرار می‌دهند.
توجه: برای نسخه‌های قبل از 2.0(1d)، داشبورد Nexus به عنوان Application Services Engine شناخته می‌شد.
در جدول زیر لیست نسخه‌های آسیب‌پذیر داشبورد Nexus و اولین نسخه وصله شده آورده شده است. به کاربران توصیه می‌شود نرم‌افزار خود را به یک نسخه وصله شده ارتقاء دهند.
 

منبع:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndb-mhcvuln-vpsBPJ9y

آسیب‌پذیری CVE-2022-28615 در وب سرور Apache
وب سرور آپاچی در نسخه 2.4.53 و نسخه‌های قبل از آن، دارای یک آسیب‌پذیری بحرانی (9.1 از10) می‌باشد. منشأ این آسیب‌پذیری تابع ap_strcmp_match() می‌باشد. در صورتی که در فراخوانی این تابع، پارامترهای ورودی، بسیار بزرگ باشند، سرریز عدد صحیح اتفاق می‌افتد که به نوبه‌ی خود، منجر به آسیب‌پذیری "خواندن خارج از محدوده " می‌شود. اگر چه هیچ کد توزیع شده با سرور httpd را نمی‌توان مجبور به این فراخوانی کرد، با این حال، ماژول‌های third-party یا اسکریپت‌های Lua که از تابع ap_strcmp_match() استفاده می‌کنند، به طور بالقوه می‌توانند تحت تأثیر این آسیب‌پذیری قرار گیرند.
جدول زیر مشخصات آسیب‌پذیری را نشان می‌دهد:

برای رفع آسیب‌پذیری، نسخه‌های آسیب‌پذیری را به 2.4.54 ارتقا دهید

منابع خبر:

https://access.redhat.com/security/cve/cve-2022-28615
https://nvd.nist.gov/vuln/detail/CVE-2022-28615#range-8121002
https://vuldb.com/?id.201527

محققان Wordfence در خصوص افزایش ناگهانی حملات سایبری و تلاش برای بهره‌برداری از یک نقص امنیتی وصله نشده در یک افزونه وردپرس به نام Kaswara Modern WPBakery Page Builder Addons به کاربران هشدار دادند.
جزئیات آسیب‌پذیری
این آسیب‌پذیری با شناسه CVE-2021-24284 دارای شدت بحرانی (10) می‌باشد. آسیب‌پذیری مذکور مربوط به آپلود یک فایل دلخواه تایید نشده است و به مهاجمان اجازه می دهد پس از اجرای کد مخرب دلخواه، کنترل سایت‌های وردپرس آسیب‌دیده را در دست بگیرد. اگرچه این نقص امنیتی در ابتدا در ماه آوریل 2021 توسط شرکت امنیتی وردپرس فاش شد، اما این مشکل تا به امروز رفع نشده است.
Wordfence از بیش از 1000 وب‌سایتی که این افزونه را نصب کرده‌اند محافظت کرده و از ابتدای ماه به طور متوسط روزانه 443868 حمله را مسدود کرده است. تخمین زده می‌شود که بین 4000 تا 8000 وب‌سایت مختلف این افزونه را نصب کرده‌اند و کاربران در تلاشند تا آن را از سایت‌های وردپرس خود حذف کنند تا حملات احتمالی را خنثی و سپس جایگزین مناسبی برای آن پیدا کنند.
 

این حملات از 10215 آدرس IP سرچشمه گرفته است که تلاش‌‎ها جهت بهره‌برداری از آن، محدود به 10 آدرس IP می‌باشد. به نظر می‌رسد هدف این کمپین، درج کدهای مخرب دلخواه در فایل‌های جاوا اسکریپت قانونی و هدایت بازدیدکنندگان سایت به وب‌سایت‌های مخرب است.
محصولات تحت تأثیر
سایت‌های وردپرسی که از افزونه‌ی صفحه‌ساز استفاده می‌کنند تحت تأثیر این آسیب‌پذیری قرار دارند.
توصیه‌های امنیتی
تمام مشتریان Wordfence از 21 می 2021 توسط Wordfence Firewall از این حمله محافظت می‌شوند، اما اکیداً به کاربران توصیه می‌شود در اسرع وقت افزونه‌های Kaswara Modern WPBakery Page Builder را به طور کامل حذف و جایگزین مناسبی برای آن پیدا کنند؛ زیرا بعید است که اخیرأ برای این افزونه وصله‌ی امنیتی منتشر شود.

منابع خبر:

https://thehackernews.com/2022/07/experts-notice-sudden-surge-in.html
https://www.wordfence.com/blog/2022/07/attacks-on-modern-wpbakery-page-builder-addons-vulnerability/

بدافزار جدیدی به نامAutolycos که در داخل اپلیکیشن‌های اندرویدی مخفی می‌شود پیدا شده است. اپلیکیشن‌های آلوده به این بدافزار حدود ۳ میلیون بار دانلود شده‌اند.
جزئیات آسیب‌پذیری
این بدافزار توسط یک کارشناس امنیت سایبری به نام Maxime Ingrao از موسسه Evina کشف شده است. بدافزار Autolycos تاکنون در ۸ اپلیکیشن اندرویدی در فروشگاه گوگل‌پلی پیدا شده است که این اپلیکیشن‌ها در مجموع ۳ میلیون بار توسط کاربران دانلود ‌شده‌اند. این بدافزار به جای استفاده از Android Webview، URLها را در مرورگر راه دور اجرا می‌کند که شامل نتیجه درخواست‌های HTTP می‌شود. به عقیده کارشناسان این موضوع باعث می‌شود فعالیت‌های این بدافزار مورد توجه قرار نگیرد و بنابراین توسط قربانیان، شناسایی نشود. به طور کلی، اپلیکیشن‌های مخرب پس از نصب بر روی دستگاه، مجوز خواندن پیامک کاربران را درخواست می‌کنند می‌توانند به محتوای پیامک‌های قربانی دسترسی داشته باشند.

محصولات تحت تأثیر
تاکنون ۶ اپلیکیشن‌ آلوده از فروشگاه گوگل‌پلی حذف شده‌اند، اما ۲ اپلیکیشن دیگر یعنی " Funny Camera " توسعه یافته توسط KellyTech با بیش از 500 هزار دانلود و " Razer Keyboard & Theme " توسعه یافته توسط rxcheldiolola با بیش از 50 هزار دانلود، همچنان در فروشگاه گوگل‌پلی وجود دارند. 6 اپلیکیشن آلوده که از فروشگاه گوگل‎پلی حذف شده‌اند عبارتند از:

• Vlog Star Video Editor (با یک میلیون دانلود)
• Creative 3D Launcher (با یک میلیون دانلود)
• Wow Beauty Camera (با صد هزار دانلود)
• Gif Emoji Keyboard (با صد هزار دانلود)
• Freeglow Camera 1.0.0 (با پنج هزار دانلود)
• Coco Camera v1.1 (با هزار دانلود)

توصیه‌های امنیتی
به کاربران توصیه می‌شود در صورتی که یکی از این اپلیکیشن‌های آلوده را بر روی گوشی خود نصب کرده‌اند هر چه سریع‌تر آنها را از تلفن همراه خود حذف کنند، یک آنتی ویروس مناسب بر روی گوشی خود نصب کنند، Play Protect را فعال نگه دارند و سعی کنند تعداد برنامه‌هایی که بر روی گوشی خود نصب می‌کنند را کاهش دهند.
منبع خبر:

https://gbhackers.com/android-malware-on-the-google-play-store/

یک ‫آسیب‌پذیری بحرانی با شناسه CVE-2022-32158 و شدت 10 از 10 در محصول Splunk-Enterprise-Deployment-Server نسخه پیش از 9.0 وجود دارد که بهره‌برداری از آن می‌تواند منجر به اجرای کد از راه دور در کلیه نقاط پایانی Universal-Forwarder که بخشی از Deployment-Server هستند، توسط مهاجم شود.
مفهوم Splunk-Enterprise-Deployment-Server به یک سرور Splunk-Enterprise اشاره دارد که برای تعدادی از کلاینت‌ها که Deployment-Clients نامیده می‌شوند، به عنوان مدیر پیکربندی متمرکز عمل می‌کند.
آسیب‌پذیری مذکور مربوط به ارسال داده‌های Universal در اسپلانک است و از این روش برای ارسال داده‌های ضروری میان Splunk-Enterpriseهای مختلف استفاده می‌شود. با استفاده از این آسیب‌پذیری، به کلاینت‌ها امکان ارسال بسته‌های Forwarder به سایر کلاینت‌ها از طریق Deployment-Server داده می‌شود (در نسخه‌های پیش از 8.1.10.1، 8.2.6.1 و 9.0).
در حال حاضر تنها راه وصله کردن این آسیب‌پذیری به‌روزرسانی Splunk-Enterprise-Deployment-Servers به نسخه 9.0 است.
منابع:

https://www.splunk.com/en_us/product-security/announcements/svd-2022-0608.html
https://nvd.nist.gov/vuln/detail/CVE-2022-32158
https://cve.report/CVE-2022-32158
https://www.tenable.com/cve/CVE-2022-32158
https://community.splunk.com/t5/Getting-Data-In/vulnerability-CVE-2022-32158-16-06-2022-versions-be…
https://www.cve.org/CVERecord?id=CVE-2022-32158
https://vuldb.com/?id.202139

هشت ماه پس از افشای یک ‫آسیب‌پذیری افزایش سطح دسترسی در مکانیسم IWA مربوط به سرور vCenter، سرانجام یک وصله امنیتی توسط Vmware منتشر شد. این آسیب‌پذیری توسط دو محقق به نام‌های Yaron Zinar و Sagi Sheinfeld از محققان شرکت امنیتی CrowdStrike گزارش شده بود.
جزئیات آسیب‌پذیری
به این آسیب‌پذیری شدت 7.1 و شناسه CVE-2021-22048 اختصاص داده شده است. آسیب‌پذیری مذکور بر بستر ابری ترکیبی Cloud Foundation و همچنین مکانیسم IWA که در سرور vCenter تعبیه شده است، تاثیر می‌گذارد. مهاجم با بهره‌برداری موفق از این آسیب‌پذیری بر روی سرور vCenter وصله نشده، برای اجرای کد مخربی که به دسترسی مدیریتی نیازی ندارد، می‌تواند دسترسی‌ خود را به دسترسی‌های یک گروه با امتیازات بالاتر ارتقاء دهد. این آسیب‌پذیری توسط Vmware بحرانی ارزیابی شده است و بدین معنی است که داده‌های یک کاربر به دلیل حملات مهاجمان یا اقداماتی که کاربر به صورت ناخواسته انجام می‌دهد در معرض خطر قرار می‌گیرند که منجر به خطر افتادن یکپارچگی یا محرمانگی داده‌ها می‌شود.
محصولات تحت تأثیر
محصولات VMware vCenter Server (vCenter Server) و VMware Cloud Foundation (Cloud Foundation) تحت تاثیر این آسیب‌پذیری قرار دارند.

• vCenter Server نسخه‌های 6.5 و 6.7 و 7.0
• Cloud Foundation (vCenter Server) نسخه‌های 3.x و 4.x

توصیه‌های امنیتی
از آنجایی که چندین نسخه از vCenter Server وجود دارد که تحت تاثیر این آسیب‌پذیری قرار دارند، Vmware نسخه vCenter Server 7.0 U3f را جهت رفع آسیب‌پذیری در vCenter Server 7.0 منتشر کرده است. برای سایر محصولات و نسخه‌های آسیب‌پذیر تاکنون وصله‌ای ارائه نشده است.
منبع خبر:

https://gbhackers.com/vmware-vcenter-server-flaw/

Juniper Networks به‌روزرسانی‌های امنیتی مختلفی را جهت رفع آسیب‌پذیری‌های تأثیرگذار بر چندین محصول خود منتشر کرد. مهاجم می‌تواند از این آسیب‌پذیری‌ها جهت کنترل سیستم تحت تأثیر، بهره‌برداری کند.

جزییات آسیب‌پذیری

CISA 31 آسیب‌پذیری بحرانی در Junos Space را برطرف کرده است، این مشکلات در چندین محصول third-party از جمله nginx resolver، Oracle Java SE، OpenSSH، Samba، RPM package manager، Kerberos، OpenSSL، Linux kernel، curl و MySQL Server وجود دارد.
شدیدترین نقص امنیتی مربوط به شناسه‌ی CVE-2021-23017 می‌باشد که دارای شدت 9.4 است و بر محصول NorthStar Controller تأثیر می‌گذارد، این نقص امنیتی به مهاجمی که قادر است بسته‌های UDP را جعل کند اجازه می‌دهد حافظه 1 بایتی را بازنویسی کرده و منجر به ایجاد مخاطره در برخی فرآیندها شود.
آسیب‌پذیری دیگری با شناسه CVE-2014-5044وجود دارد که مربوط به سرریز عدد صحیح در libgfortran است و به مهاجمان اجازه خواهد داد تا از راه دور کد دلخواه خود را اجرا کرده یا حمله‌ی انکار سرویس انجام دهد.
محصولات تحت تأثیر
این آسیب‌پذیری برخی از محصولات Juniper Networks از جمله Junos Space، Contrail Networking و NorthStar Controller را تحت تأثیر قرار می‌دهد.
توصیه‌های امنیتی
CISA به کاربران و مدیران توصیه می‌کند با مراجعه به صفحه مشاوره‌های امنیتی Juniper Networks، به‌روزرسانی‌های امنیتی منتشر شده برای برخی محصولات تحت تأثیر از جمله Junos Space نسخه‌های قبل از1.1R22، Contrail Networking و NorthStar Controller را در اسرع وقت اعمال کنند.

https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

منابع خبر:

https://securityaffairs.co/wordpress/133301/security/juniper-networks-critical-flaws.html
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/14/juniper-networks-releases-security-upd…

محققان امنیت سایبری نوع جدیدی از بدافزار ChromeLoader با هدف اصلی سرقت اطلاعات را کشف کردند. ویژگی‌ای که این نوع بدافزار را از سایر انواع پیشین آن متمایز می‌کند مجموعه‌ای از قابلیت‌هایی است که در یک بازه زمانی کوتاه در حال افزایش است.
ChromeLoader که عمدتاً جهت ربودن اطلاعات جستجوهای قربانیان در مرورگر و نمایش تبلیغات استفاده می‌شود، در ژانویه 2022 آشکار شد و در قالب دانلود فابل ISO یا DMG که از طریق کدهای QR در توییتر و سایت‌های رایگان بازی تبلیغ می‌شود، توزیع شده است.
این بدافزار همچنین با نام‌های Choziosi Loader و ChromeBack نیز شناخته می‌شود. چیزی که این نرم‌افزارهای تبلیغاتی را قابل توجه می‌کند این است که برخلاف فایل اجرایی ویندوز (.exe) یا dll ، به عنوان یک افزونه مرورگر طراحی شده است.
این بدافزار علاوه بر ارسال درخواست‌های تهاجمی جهت کسب مجوزهای دسترسی به داده‌های مرورگر و دستکاری درخواست‌های وب، به گونه‌ای طراحی شده است تا درخواست‌های موتور جستجوی کاربران در گوگل، Yahoo و Bing را شناسایی و ثبت کند.

براساس تجزیه و تحلیل‌های منتشر شده از Palo Alto Networks Unit، اولین حمله ناشی از بکارگیری این بدافزار در ماه دسامبر 2021 با استفاده از یک فایل اجرایی AutoHotKey-compiled رخ داده است. به گفته‌ی Nadav Barak، این بدافزار یک فایل اجرایی است که با AutoHotKey (AHK) نوشته شده و منتشرکنندگان آن در مدت زمان کوتاهی چندین نسخه کد مختلف را منتشر و از فریمورک‌های برنامه‌نویسی متعدد و ویژگی‌های پیشرفته‌ای نیز در آن استفاده کرده‌اند.

به گفته‌ی محققان امنیتی، این بدافزار هم سیستم‌عامل ویندوز و هم macOS را مورد هدف قرار می‌دهد.

منابع خبر:

https://thehackernews.com/2022/07/researchers-uncover-new-variants-of.html
https://masterjitips.com/researchers-uncover-new-variants-of-the-chromeloader-browser-hijacking-mal…

مهاجمان حوزه‌ی استخراج‌ ارز دیجیتال، با هدف قرار دادن منابع ابری، گیت‌هاب و ماشین‌های مجازیِ Azure را به صورت غیرقانونی مورد حمله قرار دادند. محققان در گزارشی اعلام کردند که مهاجمان می‌توانند با دانلود و نصب مخربانه ماینرهای ارزهای دیجیتال خود از runnerها یا سرورهای ارائه شده توسط گیت‌هاب برای اجرای pipelines و اتوماسیون سازمان سوءاستفاده کنند و از این طریق به کسب درآمد بپردازند.
گیت‌هاب یک پلتفرم یکپارچه‌سازی و تحویل پیوسته (CI/CD) است که به کاربران این امکان را می‌دهد تا ساخت، آزمایش و استقرار نرم‌افزار را خودکار کنند. توسعه‌دهندگان می‌توانند از این ویژگی برای ایجاد جریان‌های کاری استفاده کنند که هر درخواست pull به یک repository کد را ایجاد و آزمایش می‌کند، یا درخواست‌های pull ادغام شده را برای تولید، مستقر می‌کند.
هر دو رانر ویندوز و لینوکس بر روی ماشین‌های مجازی Standard_DS2_v2 در Azure میزبانی می‌شوند و دارای دو vCPU و 7 گیگابایت حافظه هستند.
محققان می‌گویند که کمتر از 1000، repository و بیش از 550 نمونه کد را شناسایی کرده‌اند که از مزیت این پلتفرم برای استخراج ارزهای دیجیتال با استفاده از رانرهای ارائه شده توسط GitHub استفاده می‎کنند. سرویس میزبانی کد متعلق به مایکروسافت از این مشکل مطلع شده است.
علاوه بر این، 11 repository کشف شد که انواع مشابهی از یک اسکریپت YAML حاوی دستوراتی برای استخراج سکه‌های Monero را در خود جای داده است که همگی بر روی یک کیف پول یکسان قرار دارند که نشان می‌دهد نتیجه کار یک فرد یا گروهی است که در یک راستا حرکت می‌کنند.
به گفته محققان، تا زمانیکه مهاجمان تنها از حساب‌های کاربری و repositoryهای خود استفاده می‌کنند، کاربران نباید دلیلی برای نگرانی داشته باشند. مشکلات زمانی ایجاد می‌شوند که این GHAها در GitHub Marketplace به اشتراک گذاشته می‌شوند و یا به عنوان یک وابستگی برای سایر Actionsها استفاده می‌شود.
گروه‌های استخراج کننده ارز، برای نفوذ به سیستم‌ها از یک نقص امنیتی در سیستم‌های هدف، مانند یک آسیب‌پذیری وصله نشده، پسوردهای ضعیف یا یک پیاده‌سازی ابری با پیکربندی نادرست، سوءاستفاده می‌کنند.
این مجموعه بدافزار همچنین از اسکریپت‌های kill برای خاتمه دادن و حذف ماینرهای ارزهای دیجیتال رقیب، برای سوء‌استفاده از سیستم‌های ابری به نفع خود استفاده می‌کنند.

محصولات تحت تأثیر
گیت‌هاب و ماشین‌های مجازی Azure تحت تاثیر این حملات قرار دارند.
به کاربران توصیه می‌شود در اسرع وقت نسبت به بروزرسانی و پیکربندی سیستم‌ها اقدام نمایند.

منبع خبر:

https://thehackernews.com/2022/07/cloud-based-cryptocurrency-miners.html