互联网上暴露的 Selenium Grid 实例正成为不良行为者非法加密货币挖矿和代理劫持活动的目标。

“Selenium Grid 是一个服务器，有助于跨不同浏览器和版本并行运行测试用例，”Cado Security 研究人员 Tara Gould 和 Nate Bill 在今天发表的分析中说。

“但是，Selenium Grid 的默认配置缺乏身份验证，使其容易受到威胁行为者的利用。”

云安全公司 Wiz 此前曾在 2024 年 7 月下旬强调滥用可公开访问的 Selenium Grid 实例来部署加密矿工，作为名为 SeleniumGreed 的活动集群的一部分。

Cado 观察到针对其蜜罐服务器的两种不同的活动，并表示威胁行为者正在利用缺乏身份验证保护来执行恶意操作。

第一个版本利用“goog：chromeOptions”字典注入一个 Base64 编码的 Python 脚本，该脚本反过来检索一个名为“y”的脚本，该脚本是开源的 GSocket 反向 shell。

反向 shell 随后用作引入下一阶段有效负载的媒介，一个名为“pl”的 bash 脚本，该脚本通过 curl 和 wget 命令从远程服务器检索 IPRoyal Pawn 和 EarnFM。

“IPRoyal Pawns 是一种住宅代理服务，允许用户出售他们的互联网带宽以换取金钱，”Cado 说。

“用户的互联网连接与 IPRoyal 网络共享，该服务使用带宽作为住宅代理，使其可用于各种目的，包括恶意目的。”

EarnFM 也是一种代理软件解决方案，被宣传为一种“开创性”的方式，可以“通过简单地共享您的互联网连接在线产生被动收入”。

第二种攻击，与代理劫持活动一样，遵循相同的路线，通过 Python 脚本传递 bash 脚本，该脚本检查它是否在 64 位计算机上运行，然后继续丢弃基于 Golang 的 ELF 二进制文件。

ELF 文件随后尝试利用 PwnKit 漏洞 （CVE-2021-4043） 升级到根，并丢弃名为 perfcc 的 XMRig 加密货币挖矿程序。

“由于许多组织依赖 Selenium Grid 进行 Web 浏览器测试，因此该活动进一步凸显了配置错误的实例如何被威胁行为者滥用，”研究人员说。“用户应确保已配置身份验证，因为默认情况下未启用它。”