Le cryptojacking AMBERSQUID cible-t-il AWS ?

La cyberactivité malveillante a reçu le nom de code AMBERSQUID de la part de la société de sécurité cloud Sysdig.

Sysdig a déclaré avoir découvert la campagne à la suite d’une analyse de 1,7 million d’images sur Docker Hub, l’attribuant avec une confiance modérée à des attaquants indonésiens sur la base de l’utilisation de la langue indonésienne dans les scripts et les noms d’utilisateur.

La campagne est en cours de développement.

Certaines de ces images sont conçues pour exécuter des mineurs de crypto-monnaie téléchargés à partir de dépôts GitHub contrôlés par des acteurs, tandis que d’autres exécutent des scripts shell ciblant AWS.

Une caractéristique clé est l’abus d’AWS CodeCommit, qui est utilisé pour héberger des dépôts Git privés, pour « générer un dépôt privé qu’ils ont ensuite utilisé dans différents services comme source »

Le dépôt contient le code source d’une application AWS Amplify qui, à son tour, est exploitée par un script shell pour créer une application web Amplify et finalement lancer le mineur de crypto-monnaie.

AWS Fargate et SageMaker instances, entraînant des coûts de calcul importants pour les victimes.

les attaquants ont engrangé plus de 18 300 dollars de revenus à ce jour.