Криптомайнър атаки чрез уязвимости в Qinglong

Picture of Здравко Боджов
Здравко Боджов
Уязвимости

Активна експлоатация преди публичното разкриване

Хакери използват две уязвимости за заобикаляне на автентикация в open-source инструмента Qinglong, за да инсталират криптомайнъри върху сървъри на разработчици.

Според изследователи от Snyk, атаките започват още в началото на февруари, преди проблемите да бъдат официално публикувани като уязвимости в края на месеца.

Какво представлява Qinglong

Qinglong е self-hosted платформа за управление на задачи и автоматизация, популярна сред китайски разработчици. Проектът е широко използван, с над 19 000 звезди в GitHub и хиляди fork-ове.

Двете критични уязвимости

Атаките комбинират два проблема, които позволяват заобикаляне на автентикацията и изпълнение на код от разстояние:

  • CVE-2026-3965 – грешно конфигурирано пренасочване на заявки, което отваря достъп до административни API ендпойнти без логин
  • CVE-2026-4047 – несъответствие в чувствителността към главни/малки букви между рутера и authentication слоя, което позволява заобикаляне чрез модифицирани URL заявки

Комбинацията от двете води до remote code execution (RCE).

Как работи атаката

След компрометиране на системата, нападателите:

  • модифицират конфигурационния файл config.sh
  • инжектират shell команди
  • изтеглят криптомайнър и го стартират скрито в системата

Малуерът се разполага в директория /.fullgc и използва име, имитиращо системен процес, за да избегне откриване.

Скрито майнинг и високо натоварване

Засегнатите потребители първи забелязват процес с име .fullgc, който използва между 85% и 100% CPU натоварване.

Сървърите са били използвани за добив на криптовалута, като са засегнати различни архитектури, включително Linux x86_64, ARM64 и macOS.

Инфраструктура на атаката и разпространение

Криптомайнърът е изтеглян от външен сървър, хостващ различни версии на бинарните файлове. Инфекции са отчетени в множество среди, включително такива зад Nginx и SSL защита.

Реакция и пачове

Поддръжниците на Qinglong реагират в началото на март, но първоначалната корекция е оценена като недостатъчна от изследователите.

Ефективното решение идва по-късно чрез допълнителен ъпдейт, който коригира основния проблем с authentication bypass в middleware слоя.

Случаят показва класически модел на атака в open-source екосистеми: комбинация от логически уязвимости в рутинг и автентикация, използвани за бързо разгръщане на криптомайнъри преди публичен ъпдейт.

#CVE-2026-3965, # CVE-2026-4047, # Qinglong, # киберсигурност, # криптомайнър атака
e-security.bg

Подобни

10-годишна уязвимост в phpBB позволява пълен достъп
15.06.2026
ai-generated-9296016_640
Microsoft отстрани проблем в Windows Server 2025
13.06.2026
2025server-150x150
Критична уязвимост в Ivanti Sentry вече се експлоатира
12.06.2026
Ivanti
Критична уязвимост в Langflow се използва активно
12.06.2026
cyber-security-3400723_960_720
Microsoft отстрани активно експлоатирана уязвимост в Exchange Server
11.06.2026
Exchange Server
Проблем с Windows Update предизвиква критични инсталационни грешки
11.06.2026
microsoft-4412148_640

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy