曝露於GitHub程式庫的帳密資料成為駭客下手的對象

2023-11-21

文/周峻佑  參考資料/https://reurl.cc/3enYWO

過往不斷有研究人員對開發者提出警告,將專案所需存取的帳密資料寫入程式碼,將有可能帶來危害。而最近研究人員發現的挖礦攻擊行動EleKtra-Leak,就是這樣的典型例子,攻擊者從公開的GitHub儲存庫收集AWS帳密資料,再趁機奪取這些用戶花錢租用的EC2執行個體服務進行挖礦。

 

特別的是,駭客利用這些帳號挖礦之後,竟然把它們列入黑名單,這樣的手法可說是相當少見。

 

資安業者Palo Alto Networks揭露名為EleKtra-Leak的挖礦攻擊行動,駭客約從2020年12月開始進行相關活動,被攻擊者拿來挖掘門羅幣。

 

研究人員指出,這些駭客先是濫用GitHub提供的機密資訊掃描功能,以及AWS的AWSCompromisedKeyQuarantine政策標籤來尋找目標,一旦確認目標儲存庫存放了AWS帳密資料,或是其他的身分驗證管理(IAM)資料,攻擊者就試圖找出這類帳密,對目標AWS帳號進行偵察,然後建立安全群組,並透過VPN程式存取EC2執行個體,從Google Drive下載挖礦軟體並執行,整個過程是自動化運作,總共進行超過400次API呼叫,過程只花費7分鐘。

 

特別的是,這些駭客也將他們用過的帳密資料加入黑名單。研究人員推測,這麼做的目的,很有可能是防止遭到進一步分析。

 

根據資安新聞網站Bleeping Computer報導,10月27日加密貨幣調查員ZachXBT指出,他與加密貨幣錢包MetaMask開發者Taylor Monahan聯手,追蹤一系列加密貨幣遭竊的事故,光是25日就有約440萬美元遭竊,至少有25名投資人受害,而根據他們的調查,這些人的共同點,就是都有使用密碼管理解決方案LastPass。

⚠免責聲明
轉載此文是出於傳遞更多訊息為目的,若有來源標註錯誤或侵犯了您的合法權益,請作者持權屬證明與本網聯繫,我們將及時更正、刪除,謝謝。


【盤點《資安法》修法草案重點2】拉高特定非公務機關資安治理層級,依法設立資安長

背景圖片來源/Photo by eskay lim on Unsplash文/黃彥棻   參考來源/https://www.ithome.com.tw/news/159734

113年省工高效及碳匯農機補助實施計畫 (第二階段農機補助)

農業部農糧署為輔導農業機械化,提升農耕作業效率,輔導農民購置農業普遍需求之種植、管理、收穫及採後處理等農機,協助紓解農村勞動力缺乏問題,以及因應農業淨零排放政策,引導農民採用「增匯」及「減碳」等功效之耕作機械,增加農地土壤碳含量,並鼓勵農民淘汰老舊燃油農機,改採用低碳排之電動化農耕機械,將於以下時段辦理113年省工高效及碳匯農機補助申請,詳細資訊請參閱網站。