نمونههای عمومی PostgreSQL هدف کمپین فعالی قرار گرفتند که با هدف دسترسی غیرمجاز و اجرای ماینرهای رمز ارز طراحی شد.
شرکت امنیت ابری Wiz اعلام کرد این فعالیت، نمونهای از مجموعه نفوذی است که نخستین بار در آگوست 2024 توسط Aqua Security شناسایی شد و شامل بدافزاری به نام PG_MEM بود. کمپین به عامل تهدیدی نسبت داده شد که Wiz آن را تحت عنوان JINX-0126 ردیابی میکند. عامل تهدید در حال حاضر از تکنیکهای عبور از دفاع مانند استفاده از فایلهای باینری با هش منحصر به فرد برای هر هدف و اجرای بدون فایل پیلود ماینر بهره میبرد و احتمالاً از شناسایی توسط راهحلهای پلتفرم حفاظت از cloud workload که صرفاً بر اعتبار هش فایلها متکی است، عبور میکند.
این کمپین تاکنون بیش از 1.500 قربانی داشته است که نشان میدهد نمونههای PostgreSQL در معرض عموم با اعتبارنامههای پایین یا قابل پیشبینی به اندازهای فراگیر هستند که به هدف حمله برای عوامل تهدید فرصتطلب تبدیل شوند. متمایزترین جنبه کمپین سوء استفاده از دستور COPY … FROM PROGRAM SQL برای اجرای دستورات شِل دلخواه بر روی میزبان است. دسترسی بهوسیله اکسپلویت موفقیتآمیز از سرویسهای PostgreSQL با پیکربندی ضعیف برای انجام شناسایی اولیه و دراپ پیلودی با کد Base64 استفاده میشود که در واقع یک شِلاسکریپت است که یک باینری به نام PG_CORE را دراپ میکند.
https://thehackernews.com/2025/04/over-1500-postgresql-servers.html
