黑客利用暴露JDWP接口大规模开展加密挖矿攻击

根据云安全公司Wiz研究人员的最新报告，黑客正在针对互联网上暴露的Java调试线协议（JDWP）接口发起攻击，以实施加密货币挖矿活动。该攻击手法已引发广泛关注，成为当前网络安全领域的重要威胁之一。 研究人员发现，攻击者利用JDWP缺乏访问控制的特性，通过扫描5005端口上的调试服务，确认目标系统后执行远程代码注入。一旦成功，攻击者会在受感染主机上部署经过定制的XMRig挖矿程序，其配置被硬编码以规避常规检测手段。 值得注意的是，该有效载荷通过矿池代理隐藏了攻击者的钱包地址，极大增加了追踪难度。此外，攻击者还采用cron作业机制确保恶意程序在系统重启或用户登录时自动运行，同时具备自我清理能力，降低被发现概率。 研究团队指出，许多开发环境中的常用应用如TeamCity、Apache Tomcat、Spring Boot、Elasticsearch及Jenkins等，在调试模式下会默认启用JDWP服务。然而，若未正确配置并对外暴露，极易成为攻击入口。尽管默认情况下该协议不开启，但实际部署中常因疏忽而开放，为远程代码执行（RCE）漏洞提供可乘之机。 GreyNoise数据显示，过去24小时内，已有超过2600个IP地址对JDWP端点进行扫描，其中1500个为恶意行为者，1100个属于可疑来源，主要分布于香港、德国、美国、新加坡和中国等地，表明此类攻击具有广泛的地理覆盖性与持续性。 此次攻击事件也正值新型恶意软件Hpingbot活跃之际。该恶意软件基于Go语言编写，持续针对Windows与Linux系统，使用hping3工具发起分布式拒绝服务（DDoS）攻击，进一步加剧了企业基础设施的安全压力。 专家提醒，组织应立即审查所有运行Java应用的系统，关闭不必要的JDWP服务，限制外部访问，并加强日志监控与资产存储安全。对于长期持有者而言，此类网络安全事件虽不影响比特币基本面，但可能间接影响市场信心与交易活动。 随着攻击手段不断演进，区块链分析显示，挖矿活动相关流量呈上升趋势，反映出攻击者对算力资源的持续需求。未来，防御体系需从被动响应转向主动防护，结合自动化检测与威胁情报共享，提升整体韧性。