Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los ataques de criptojacking de EleKtra-Leak explotan las credenciales de AWS IAM expuestas en GitHub
  • Tecnología

Los ataques de criptojacking de EleKtra-Leak explotan las credenciales de AWS IAM expuestas en GitHub

teknomers 30 de Ekim de 2023 (Last updated: 30 de Ekim de 2023) 4 minutes read
Los ataques de criptojacking de EleKtra-Leak explotan las credenciales de


30 de octubre de 2023Sala de redacciónSeguridad en la nube / Criptomoneda

Una nueva campaña en curso denominada EleKtra-fuga ha puesto sus ojos en las credenciales expuestas de gestión de identidad y acceso (IAM) de Amazon Web Service (AWS) dentro de los repositorios públicos de GitHub para facilitar las actividades de criptojacking.

“Como resultado de esto, el actor de amenazas asociado con la campaña pudo crear múltiples instancias de AWS Elastic Compute (EC2) que utilizaron para operaciones de cryptojacking de amplio alcance y larga duración”, dijeron los investigadores de la Unidad 42 de Palo Alto Networks, William Gamazo y Nathaniel Quist dicho en un informe técnico compartido con The Hacker News.

La operación, activa desde al menos diciembre de 2020, está diseñada para extraer Monero de hasta 474 instancias únicas de Amazon EC2 entre el 30 de agosto y el 6 de octubre de 2023.

Un aspecto destacado de los ataques es el ataque automatizado a las credenciales de AWS IAM dentro de los cuatro minutos de su exposición inicial en GitHub, lo que indica que los actores de amenazas están clonando y escaneando programáticamente los repositorios para capturar las claves expuestas.

También se ha observado que el adversario incluye en una lista bloqueada cuentas de AWS que publicitan credenciales de IAM en lo que probablemente se considera un esfuerzo por evitar más análisis.

La seguridad cibernética

Hay evidencia que sugiere que el atacante también pudo haber estado vinculado a otra campaña de criptojacking. revelado por Intezer en enero de 2021 tenía como objetivo servicios Docker mal protegidos utilizando el mismo software de minería personalizado.

Parte del éxito de la campaña radica en la explotación de puntos ciegos en la función de escaneo secreto de GitHub y AWS. AWSCompromisedKeyPolítica de cuarentena para marcar y evitar el uso indebido de credenciales de IAM comprometidas o expuestas para ejecutar o iniciar instancias EC2.

Si bien la política de cuarentena se aplica dentro de los dos minutos posteriores al acceso público a las credenciales de AWS en GitHub, se sospecha que las claves están siendo expuestas a través de un método aún indeterminado.

Ataques de criptojacking de fugas de EleKtra

La Unidad 42 dijo que “el actor de amenazas podría encontrar claves de AWS expuestas que AWS no detecta automáticamente y posteriormente controlar estas claves fuera de la política AWSCompromisedKeyQuarantine”.

En las cadenas de ataque descubiertas por la empresa de ciberseguridad, las credenciales de AWS robadas se utilizan para realizar una operación de reconocimiento de cuenta, seguida de la creación Grupos de seguridad de AWS y lanzar múltiples instancias EC2 en varias regiones desde detrás de una red privada virtual (VPN).

Las operaciones de criptominería se llevan a cabo en instancias c5a.24xlarge de AWS debido a su mayor poder de procesamiento, lo que permite a sus operadores extraer más criptomonedas en un período de tiempo más corto.

La seguridad cibernética

El software de minería utilizado para llevar a cabo el cryptojacking se obtiene de una URL de Google Drive, lo que resalta un patrón de actores maliciosos que aprovechan la confianza asociada con aplicaciones ampliamente utilizadas para pasar desapercibidas.

“El tipo de imágenes de máquinas de Amazon (IAM) el actor de amenazas utilizado también era distintivo”, dijeron los investigadores. “Las imágenes identificadas eran privadas y no figuraban en AWS Marketplace”.

Para mitigar dichos ataques, se recomienda a las organizaciones que exponen accidentalmente las credenciales de AWS IAM que revoquen inmediatamente cualquier conexión API utilizando las claves, las eliminen del repositorio de GitHub y auditen GitHub. eventos de clonación de repositorios para cualquier operación sospechosa.

“El actor de amenazas puede detectar y lanzar una operación minera a gran escala en cinco minutos desde el momento en que se expone una credencial de AWS IAM en un repositorio público de GitHub”, dijeron los investigadores. “A pesar del éxito de las políticas de cuarentena de AWS, la campaña mantiene una fluctuación continua en el número y la frecuencia de las cuentas de las víctimas comprometidas”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Moriré para salvar a Israel y a “toda la humanidad” del terrorismo, promete un estudiante de derecho británico de 23 años llamado a luchar contra Hamás
Next: "Copa Mundial de la Vergüenza" – un año después

Related Stories

Durante las Rebajas tienes -820€ en un monitor PC gamer
  • Tecnología

Durante las Rebajas tienes -820€ en un monitor PC gamer 4K 3D sin gafas de 27″ y 165 Hz de Samsung

teknomers 3 de Temmuz de 2026
Ciberataques a hospitales: 5 jóvenes franceses de 16 a 22
  • Tecnología

Ciberataques a hospitales: 5 jóvenes franceses de 16 a 22 años detenidos tras filtraciones de datos

teknomers 3 de Temmuz de 2026
PS5, PS6: la muerte anunciada del disco en 2028 es
  • Tecnología

PS5, PS6: la muerte anunciada del disco en 2028 es una muy mala noticia para los jugadores

teknomers 3 de Temmuz de 2026

You May Have Missed

  • General

“Está más caliente que el infierno”: Neoyorquinos y mascotas buscan alivio mientras la ola de calor abrasa la ciudad – Teknomers

teknomers 3 de Temmuz de 2026
  • Deporte

Copa del Mundo 2026: Portugal quiere honrar a Diogo Jota ganando la Copa del Mundo

teknomers 3 de Temmuz de 2026
¿Qué es esa "tecnología de balón conectado" que permitió detectar
  • Deporte

¿Qué es esa “tecnología de balón conectado” que permitió detectar un fuera de juego croata y clasificar a Portugal?

teknomers 3 de Temmuz de 2026
Durante las Rebajas tienes -820€ en un monitor PC gamer
  • Tecnología

Durante las Rebajas tienes -820€ en un monitor PC gamer 4K 3D sin gafas de 27″ y 165 Hz de Samsung

teknomers 3 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.