在分析滥用该漏洞的恶意样本时，研究人员发现了与挖掘门罗币相关的多个相同类型的漏洞。攻击者在GitHub 和Netlify 中部署了恶意软件，分析人员已向当局通报了滥用情况并删除了这些帐户。

漏洞情况

通过蜜罐分析，攻击者利用2020年和2021年披露的漏洞针对多个产品进行挖矿活动，如下所示。

Atlassian Confluence（CVE-2021-26084 和CVE-2021-26085）

F5 BIG-IP（CVE-2020-5902 和CVE-2021-22986）

VMware vCenter（CVE-2021-22005、CVE-2021-21985、CVE-2021-21972 和CVE-2021-21973）

Oracle WebLogic Server（CVE-2020-14882、CVE-2020-14750 和CVE-2020-14883）

Apache HTTP 服务器（CVE-2021-40438、CVE-2021-41773 和CVE-2021-42013）

相关漏洞利用分类统计

所有漏洞都有已公开披露的相关POC，查看其中一个门罗币钱包即可发现，攻击势头并未放缓。

门罗币钱包收入信息

Windows 平台

矿机可在Windows 和Linux 平台上运行。尽管它使用的漏洞和攻击基础设施不同，但该脚本仍然适用。分析发现，Netlify和GitHub被用作部署恶意脚本的服务器。脚本下载后，重命名为临时文件，后台确认运行成功后删除。

Windows平台攻击流程

脚本c3.bat是基于GitHub开源项目Monero-mining的修改版本。

脚本部分

检查当前会话是否具有管理员权限后计算门罗币钱包地址的长度。如果长度不是95 和106 个字符，则脚本正常退出。如果长度相等，则跳转到WALLET_LEN_OK 语句。

确定钱包地址长度

检查命令是否可用

查看系统相关信息

使用wmic 进一步枚举有关系统的其他信息，例如处理器数量、缓存大小等。这些信息随后用于计算Monero 挖掘速率，使用不同的端口以不同的速率。

确定挖矿率

通过攻击者控制的GitHub 存储库下载压缩的挖矿程序(c3.zip)，并使用PowerShell 解压缩下载的文件。如果解压失败，请下载7z进行解压，然后删除下载的文件（7za.exe和c3.zip）。

下载后续恶意软件

该脚本还会下载最新版本的XMRig，将其解压缩并删除7z 文件和XMRig 文件。成功安装挖矿程序后，使用PowerShell修改配置文件。

安装挖矿程序

修改配置文件

如果挖矿程序（c3.exe）正在运行，则跳转到ALREADY_RUNNING。如果没有运行，则使用start开始执行。

如果用户具有管理权限，则跳转至ADMIN_MINER_SETUP。如果没有权限，则持久化后使用配置文件执行c3pool XMR挖矿程序。

配置持久性

该应用程序使用Non-Sucking Service Manager (NSSM) 作为服务安装，该管理器允许用户指定记录到用户定义的文件。

安装并启动服务

Linux 平台

shell脚本首先以无限循环清除受感染主机中发现的矿工，例如kinsing、kdevtmpfsi、pty86和.javae。

清除其他挖矿程序

清除竞争对手后，修改/var/spool/cron/root的文件属性，然后添加特定程序（java、redis、weblogic、mongod、mysql、oracle、tomcat、grep、postgres、confluence、awk和aux）到由于CPU 使用而导致的外部和高级进程终止。

终止符合条件的进程

每三十秒重复一次，调用函数func1。在func1函数中，检查进程java.xnk的CPU使用率大于或等于60%，并将进程ID配置为变量p。如果变量为空，则进程终止并创建三个目录：

/var/tmp/java.xnk

/var/lock/java.xnk

/tmp/java.xnk

流程处理

检查$DIR路径下的java.xnk.bionic文件，如果该文件不存在则使用wget下载bionic miner和config.json（挖矿配置程序）。为下载的二进制文件分配可执行权限并在后台保持执行。

同样，重复下载并执行以下文件：

焦点为java.xnk.focal

freebsd 为java.xnk.freebsd

linuxstatic 作为java.xnk.linux

xenial 为java.xnk.xenial

xmr-stak 作为java.xnk.stak

执行挖矿程序

结论

从被入侵的情况来看，攻击者将继续利用这些漏洞来攻击易受攻击的服务器。矿工可以在Linux 和Windows 平台上进行挖矿，攻击者仍然利用GitHub 和Netlify 等平台作为部署渠道。

用户评论

青墨断笺み

哎呀，这GitHub和Netlify都被用来传播挖矿木马了，太不安全了！我得赶紧检查我的账户。

    有11位网友表示赞同！

不浪漫罪名

这真是太可怕了，我一直用的GitHub，没想到会有这种风险，得提高警惕啊。

    有9位网友表示赞同！

如你所愿

GitHub和Netlify是常用的平台，没想到会变成传播木马的温床，希望他们能尽快采取措施。

    有20位网友表示赞同！

赋流云

哈哈，我还以为GitHub和Netlify只能用来写代码和部署网站呢，没想到还能传播挖矿木马，这技术也太厉害了。

    有7位网友表示赞同！

゛指尖的阳光丶

我一直用的Netlify，今天才知道有这样的风险，以后得多留个心眼。

    有7位网友表示赞同！

凉话刺骨

这挖矿木马太狡猾了，居然能利用GitHub和Netlify传播，真是防不胜防。

    有16位网友表示赞同！

怅惘

我得提醒一下我的朋友，他们可能也在用GitHub和Netlify，得告诉他们这个风险。

    有10位网友表示赞同！

珠穆郎马疯@

GitHub和Netlify的这次事件让我对互联网的安全性产生了怀疑，以后得多关注网络安全。

    有16位网友表示赞同！

心贝

这挖矿木马传播的途径太广了，感觉互联网的安全性越来越成问题了。

    有13位网友表示赞同！

娇眉恨

希望GitHub和Netlify能加强对平台的监管，别让这种挖矿木马有机可乘。

    有18位网友表示赞同！

短发

哎，我现在都不敢用GitHub和Netlify了，生怕自己的电脑也被感染。

    有14位网友表示赞同！

执拗旧人

这挖矿木马真是太猖獗了，希望相关部门能加大打击力度。

    有12位网友表示赞同！

裸睡の鱼

GitHub和Netlify这次事件让我对开源社区的安全性产生了担忧。

    有15位网友表示赞同！

眉黛如画

我得赶紧更新我的GitHub账户密码，防止被盗用。

    有8位网友表示赞同！

采姑娘的小蘑菇

这挖矿木马事件让我对网络安全有了更深刻的认识，以后得多学习这方面的知识。

    有8位网友表示赞同！

非想

GitHub和Netlify的这次事件，让我意识到保护个人隐私和数据安全的重要性。

    有18位网友表示赞同！

减肥伤身#

希望这次事件能引起更多人关注网络安全，提高自我保护意识。

    有10位网友表示赞同！

日久见人心

GitHub和Netlify，你们得加强平台管理啊，这种事情不能再发生了。

    有9位网友表示赞同！

别伤我i

这次挖矿木马事件，让我对互联网的安全性有了新的认识，得时刻保持警惕。

    有14位网友表示赞同！

孤廖

我得告诉我的家人和朋友，让他们也注意GitHub和Netlify的风险。

    有8位网友表示赞同！