Alerta Criptojacking: JINX-0132 ataca herramientas DevOps

Un ataque al corazón de la infraestructura

Investigadores de seguridad de Wiz han descubierto una campaña sofisticada, atribuida al actor de amenazas JINX-0132, que marca una evolución preocupante en los ciberataques modernos. A diferencia del malware tradicional, esta operación apunta directamente a las herramientas centrales de los flujos de trabajo DevOps: HashiCorp Nomad, Consul, Gitea y Docker.

Lo que hace destacar a esta campaña es su enfoque en el sigilo. JINX-0132 evita identificadores únicos y descarga herramientas legítimas (como XMRig) directamente desde repositorios públicos de GitHub, mezclándose con el tráfico normal de desarrollo para evitar ser detectado por las herramientas de seguridad convencionales.

HashiCorp Nomad: El nuevo vector de ataque

Quizás el hallazgo más significativo es la explotación documentada de HashiCorp Nomad. Los atacantes abusan de la cola de trabajos de Nomad (que a menudo no es segura por defecto) para ejecutar múltiples tareas maliciosas. Esto no solo permite la minería de criptomonedas, sino que abre la puerta al robo de datos y movimiento lateral dentro de la red corporativa.

Además de Nomad, la campaña ataca:

Consul: Secuestrando los mecanismos de “health check” para ejecutar comandos bash.
Docker: Creando contenedores que lanzan imágenes de mineros.
Gitea: Explotando vulnerabilidades antiguas (CVE-2020-14144) en instancias sin actualizar.

El riesgo y las estrategias de defensa

Según los datos, el 25% de los entornos en la nube ejecutan estas tecnologías, y un 30% de los expuestos están mal configurados. La defensa requiere tratar la seguridad DevOps con el mismo rigor que la seguridad TI tradicional:

Para Nomad: Implementar listas de control de acceso (ACLs) y autenticación robusta.
Para Consul: Deshabilitar comprobaciones de scripts y restringir la API HTTP a localhost.
General: Mantener las instancias actualizadas (especialmente Gitea) y asegurar las APIs de Docker.

Esta campaña sirve como una llamada de atención: la agilidad de DevOps no puede eclipsar la seguridad fundacional de las herramientas que gestionan nuestro software.

Fuente original: DevOps Tools Under Siege - DevOps.com

Nueva campaña de Criptojacking explota herramientas DevOps

El grupo JINX-0132 aprovecha configuraciones erróneas en Nomad, Consul y Docker para minar criptomonedas.

Una sofisticada campaña de criptojacking ataca infraestructuras DevOps. Descubre cómo JINX-0132 explota HashiCorp Nomad y cómo proteger tus sistemas.

Un ataque al corazón de la infraestructura

HashiCorp Nomad: El nuevo vector de ataque

El riesgo y las estrategias de defensa

Soporte de infraestructura de clase mundial

Combinamos experiencia en la industria, soporte experto, infraestructura confiable y un conjunto integral de herramientas para ayudar a su equipo a entregar software de manera más ágil y segura.