Détection de la campagne PURPLEURCHIN : Une nouvelle opération de minage de crypto-monnaies exploite massivement GitHub Actions et d’autres comptes de services CI/CD gratuits populaires  

Avec les attaques de cryptominage augmentant considérablement au cours des dernières années, la sensibilisation accrue au cryptojacking est d’une importance capitale. Des chercheurs en cybersécurité ont récemment découvert une vaste campagne de cryptojacking abusant des fournisseurs de services CI/CD gratuits, avec plus de 30 comptes GitHub, 2 000 Heroku et 900 Buddy compromis. Surnommée PURPLEURCHIN, l’opération malveillante applique des techniques d’obfuscation sophistiquées et des capacités d’automatisation renforcées, exploitant plus de 130 images Docker Hub et basculant continuellement entre les comptes de services CI/CD sur plusieurs plateformes. 

Détecter les campagnes de cryptojacking PURPLEURCHIN

Avec des acteurs de la menace ciblant plusieurs environnements à la fois et élargissant continuellement leur portée d’attaques, la campagne de cryptominage PURPLEURCHIN nécessite une ultra-réactivité des cyberdéfenseurs. La plateforme SOC Prime pour la défense collective contre les cybermenaces a publié une règle Sigma soigneusement conçue pour détecter l’activité malveillante associée à une nouvelle campagne de cryptominage PURPLEURCHIN. La règle Sigma dédiée rédigée par notre prolifique développeur Threat Bounty Emir Erdogan détecte l’exécution d’images Docker Hub PURPLEURCHIN après avoir téléchargé des dépôts GitHub en utilisant une commande curl.

L’algorithme de détection est compatible avec plus de 20 plateformes SIEM, EDR et XDR et est aligné avec MITRE ATT&CK® abordant deux tactiques de l’adversaire – l’Impact et l’Exécution avec les techniques correspondantes de détournement de ressources (T1496) et d’Exécution de l’utilisateur (T1204). 

Détection de l’opération de minage PURPLEURCHIN sur Linux (via process_creation)

Avec le nombre croissant d’attaques de cryptojacking à travers le monde, les organisations s’efforcent d’adapter des stratégies de cybersécurité proactives pour identifier et remédier en temps opportun aux risques. Cliquez sur le bouton Explorer les Détections pour accéder instantanément aux règles Sigma pour la détection de logiciels malveillants de cryptominage ainsi qu’aux liens CTI, aux références ATT&CK, et à d’autres contextes pertinents de menaces cyber.

bouton Explorer les Détections

Description de l’attaque PURPLEURCHIN

The Les chercheurs en cybersécurité de Sysdig ont récemment révélé une opération massive de freejacking, dans laquelle des adversaires compromettent des fournisseurs de services CI/CD gratuits, y compris des comptes GitHub, Heroku et Buddy, pour miner des cryptomonnaies. Dans cette campagne appelée PURPLEURCHIN, les attaquants ont exploité plus d’un million de plateformes CI/CD largement utilisées, telles que GitHub Actions, pour effectuer l’opération malveillante. 

Le fait que les attaques PURPLEURCHIN soient capables de faire fonctionner des mineurs de crypto à travers plusieurs environnements augmente les risques pour les organisations qui dépendent des fournisseurs de services CI/CD potentiellement impactés. 

Selon la recherche de Sysdig, des comptes de services gratuits ont été exploités dans les campagnes malveillantes précédentes avec des logiciels open-source comme Docker ayant été ciblés pour des attaques de cryptominage. Pourtant, dans cette dernière campagne PURPLEURCHIN, l’étendue des attaques s’étend à plusieurs plateformes freejackées simultanément, ainsi que la sophistication des techniques adverses nécessite une attention immédiate des cyberdéfenseurs. Ce qui rend l’attaque si étendue est l’utilisation des capacités d’automatisation permettant aux cybercriminels de générer continuellement des comptes gratuits pour poursuivre l’opération de minage. 

Après avoir exécuté l’image initiale de Docker Hub PURPLEURCHIN, cela déclenche une action GitHub dans plusieurs dépôts en utilisant HTTP. Communément, les acteurs de la menace appliquent l’outil de cryptominage XMRig, le mineur CPU le plus courant pour déployer Monero, alors que les adversaires dans la nouvelle attaque PURPLEURCHIN utilisent un mineur de pièces CPU appelé via Node.js. 

Les acteurs de la menace PURPLEURCHIN ont été observés en train de miner le Tidecoin, ainsi qu’en appliquant une variété de mineurs de pièces de l’arsenal de l’adversaire. De plus, les attaquants utilisent leur propre relais de protocole de minage Stratum, ce qui leur permet de cacher l’adresse du portefeuille crypto et d’échapper à la détection.

Imaginez que le code que vous écrivez peut faire une différence et aider les autres à contrecarrer les attaques cyber émergentes. Rejoignez les rangs de notre Programme Threat Bounty pour perfectionner vos compétences Sigma et ATT&CK et être payé pour vos propres algorithmes de détection. Écrivez votre propre code de détection, partagez-le avec vos pairs de l’industrie, et faites connaître votre contribution au monde.