Las instancias de PostgreSQL expuestas son el objetivo de una campa\u00f1a en curso dise\u00f1ada para obtener acceso no autorizado e implementar mineros de criptomonedas.<\/p>\n
La firma de seguridad en la nube Wiz dijo que la actividad es una variante de un conjunto de intrusiones que fue marcado por primera vez por Aqua Security en agosto de 2024 que implicaba el uso de una cepa de malware denominada PG_MEM. La campa\u00f1a se ha atribuido a un actor de amenaza que Wiz Wiz pira como Jinx-0126.<\/p>\n
“Desde entonces, el actor de amenaza ha evolucionado, implementando t\u00e9cnicas de evasi\u00f3n de defensa, como la implementaci\u00f3n de binarios con un hash \u00fanico por objetivo y ejecutar la carga \u00fatil del minero sin fondos, probablemente evadir la detecci\u00f3n de [cloud workload protection platform] Soluciones que dependen \u00fanicamente de la reputaci\u00f3n del hash “, los investigadores Avigayil Mechtinger, Yaara Shriki y Gili Tikochinski dicho<\/a>.<\/p>\n Wiz tambi\u00e9n ha revelado que la campa\u00f1a probablemente ha reclamado a m\u00e1s de 1.500 v\u00edctimas hasta la fecha, lo que indica que las instancias de PostgreSQL expuestas p\u00fablicamente con credenciales d\u00e9biles o predecibles son lo suficientemente frecuentes como para convertirse en un objetivo de ataque para los actores de amenazas oportunistas.<\/p>\n El aspecto m\u00e1s distintivo de la campa\u00f1a es el abuso de la copia … del comando del programa SQL para ejecutar comandos de shell arbitrarios en el host.<\/p>\n El acceso brindado por la explotaci\u00f3n exitosa de los servicios PostgreSQL d\u00e9bilmente configurados se utiliza para llevar a cabo un reconocimiento preliminar y eliminar una carga \u00fatil codificada Base64, que, en realidad, es un script que mata a los mineros de criptomonedas de la competencia y deja caer un binario binario con nombre binario.<\/p>\n Tambi\u00e9n se descarga en el servidor un misterio de correos con nombre binario de Golang ofondeado que imitadores<\/a> El servidor leg\u00edtimo de bases de datos multiusuario PostgreSQL. Est\u00e1 dise\u00f1ado para configurar la persistencia en el host usando un trabajo cron, crear un nuevo rol con privilegios elevados y escribir otro binario llamado CPU_HU al disco.<\/p>\n cpu_hu, por su parte, descarga la \u00faltima versi\u00f3n del Xmrig Miner<\/a> Desde GitHub y lo inicia sin fila a trav\u00e9s de una t\u00e9cnica de Linux Filless conocida denominada MEMFD. <\/p>\n “El actor de amenaza est\u00e1 asignando un trabajador minero \u00fanico a cada v\u00edctima”, dijo Wiz, y agreg\u00f3 que identific\u00f3 tres billeteras diferentes vinculadas al actor de amenazas. “Cada billetera ten\u00eda aproximadamente 550 trabajadores. Combinado, esto sugiere que la campa\u00f1a podr\u00eda haber aprovechado m\u00e1s de 1,500 m\u00e1quinas comprometidas”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Mas-de-1500-servidores-PostgreSQL-comprometidos-en-la-campana-minera.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n