网络安全研究人员正在对正在进行的活动发出警报，该活动正在利用互联网暴露的 Selenium Grid 服务进行非法加密货币挖掘。

云安全公司 Wiz 正在以 SeleniumGreed 的名义跟踪该活动。该活动针对旧版本的 Selenium（3.141.59 及更早版本），据信至少从 2023 年 4 月开始进行。

“大多数用户不知道，Selenium WebDriver API可以与机器本身进行完全交互，包括读取和下载文件，以及运行远程命令，”Wiz研究人员Avigayil Mechtinger，Gili Tikochinski和Dor Laska说。

“默认情况下，未为此服务启用身份验证。这意味着许多可公开访问的实例配置错误，任何人都可以访问并被滥用于恶意目的。

Selenium Grid 是 Selenium 自动化测试框架的一部分，支持跨多个工作负载、不同浏览器和各种浏览器版本并行执行测试。

目前尚不清楚究竟谁是这次袭击活动的幕后黑手。但是，它涉及威胁参与者针对公开暴露的 Selenium Grid 实例，并利用 WebDriver API 运行负责下载和运行 XMRig 矿工的 Python 代码。

它首先由攻击者向易受攻击的 Selenium Grid 中心发送请求，旨在执行包含 Base64 编码有效载荷的 Python 程序，该有效载荷会向攻击者控制的服务器生成反向 shell （“164.90.149[.]104“） 为了获取最终有效载荷，开源 XMRig 矿工的修改版本。

研究人员解释说：“他们不是在矿工配置中对矿池IP进行硬编码，而是在运行时动态生成它。“他们还在添加的代码（以及配置中）设置了 XMRig 的 TLS 指纹功能，确保矿工只与威胁行为者控制的服务器通信。”

据说有问题的 IP 地址属于已被威胁行为者破坏的合法服务，因为它还被发现托管了一个公开暴露的 Selenium Grid 实例。

Wiz表示，在较新版本的Selenium上执行远程命令是可能的，并且它识别了超过30,000个暴露于远程命令执行的实例，因此用户必须采取措施关闭错误配置。

研究人员说：“Selenium Grid不是为暴露在互联网上而设计的，其默认配置没有启用身份验证，因此任何可以通过网络访问中心的用户都可以通过API与节点进行交互。

“如果服务部署在具有防火墙策略不足的公共 IP 的计算机上，这将带来重大的安全风险。”