Mineração De Criptomoedas

Uma campanha de cibersegurança tem como alvo instâncias expostas do ComfyUI, uma plataforma popular de difusão estável, para integrá-las em uma botnet de mineração de criptomoedas e proxy. Um scanner em Python varre continuamente os principais intervalos de IP na nuvem em busca de alvos vulneráveis, instalando automaticamente nós maliciosos via ComfyUI-Manager. A exploração se baseia em uma má configuração que permite a execução remota de código em implantações não autenticadas. Após a exploração bem-sucedida, os hosts comprometidos são utilizados para minerar Monero e Conflux, além de serem integrados a uma botnet chamada Hysteria V2. A pesquisa da Censys revelou mais de 1.000 instâncias do ComfyUI acessíveis publicamente, o que é suficiente para que agentes de ameaça realizem campanhas oportunistas. O ataque utiliza scripts que exploram nós personalizados do ComfyUI, permitindo a execução de código arbitrário sem autenticação. A persistência do malware é garantida por mecanismos que reinstalam o código a cada inicialização do ComfyUI, além de técnicas para ocultar a atividade maliciosa. Este incidente destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger serviços expostos na nuvem.

Uma nova campanha de cibersegurança está atacando clientes da Amazon Web Services (AWS) utilizando credenciais comprometidas de Gerenciamento de Identidade e Acesso (IAM) para realizar mineração de criptomoedas. Detectada pela primeira vez em 2 de novembro de 2025 pelo serviço de detecção de ameaças GuardDuty da Amazon, a atividade emprega técnicas de persistência inovadoras para dificultar a resposta a incidentes. Os atacantes, operando de um provedor de hospedagem externo, rapidamente enumeraram recursos e permissões antes de implantar recursos de mineração em ECS e EC2. Em menos de 10 minutos após o acesso inicial, os mineradores estavam operacionais.

A Oligo Security alertou sobre ataques em andamento que exploram uma vulnerabilidade de dois anos no framework de inteligência artificial (IA) open-source Ray, transformando clusters infectados com GPUs da NVIDIA em uma botnet de mineração de criptomoedas autossustentável. Denominada ShadowRay 2.0, a campanha se baseia em uma falha crítica de autenticação (CVE-2023-48022, pontuação CVSS: 9.8) que permite o controle de instâncias vulneráveis para mineração ilícita usando o XMRig. Os atacantes submetem trabalhos maliciosos a uma API de submissão de trabalhos do Ray, criando um worm que se espalha entre dashboards expostos. A campanha utiliza repositórios no GitLab e GitHub para distribuir o malware, e os atacantes têm demonstrado resiliência ao criar novas contas após a remoção de contas anteriores. Além disso, a infecção é projetada para eliminar concorrentes, terminando processos de mineração em execução. A Oligo também observou que os clusters comprometidos estão sendo usados para ataques de negação de serviço (DDoS), ampliando o escopo da operação. Com mais de 230.500 servidores Ray acessíveis publicamente, a exposição à internet representa um risco significativo, e a Anyscale, desenvolvedora do Ray, lançou ferramentas para ajudar na configuração adequada dos clusters.