Hakeri eksploatuju ranjivosti u Qinglong platformi za instalaciju kripto-majnera
Hakeri eksploatuju dve kritične ranjivosti u Qinglong alatu za instalaciju kripto-majnera na serverima programera.
Šta se desilo?
Napadači koriste dve kritične ranjivosti u open-source alatu Qinglong za upravljanje zadacima kako bi obišli autentifikaciju i instalirali kripto-majnere na serverima programera. Eksploatacija je počela početkom februara 2026, pre nego što su sigurnosni problemi javno objavljeni, prema istraživanju Snyk ekipe.
Koga pogađa?
Qinglong je popularan među kineskim razvojnim inženjerima, a platforma ima preko 19.000 zvezdica na GitHub-u. Pogođeni su vlasnici servera koji koriste Qinglong verzije 2.20.1 i starije, a naročito oni sa javno dostupnim panelima. Hakeri su targirali instance dostupne iz interneta da instaliraju skrivene proces za rudarenje kriptovaluta.
Kako se zaštititi?
- Odmah ažurirajte Qinglong na najnoviju verziju koja sadrži ispravku PR #2941
- Ograničite pristup Qinglong panelu samo na pouzdane IP adrese
- Proverite log datoteke za sumnjive procese nazvane ".fullgc" ili druge neobične operacije
- Monitorujte upotrebu CPU-a i detektujte anomalne vrednosti
- Koristite firewall pravila da sprečite konekcije ka "file.551911.xyz" i sličnim malicioznim domenama
- Ugasite HTTP pristup ako koristite HTTPS i postavite sigurne reverse proxy konfiguracije
Tehnički detalji
CVE-2026-3965 omogućava napadačima da pristupe zaštićenim admin endpoint-ima kroz pogrešno konfiguriranu rewrite regulu koja mapira '/open/' zahteve na '/api/' putanje bez autentifikacije. CVE-2026-4047 ekspploatuje razliku u tretiranju velikih i malih slova između middleware autentifikacije (koja je osjetljiva) i Express.js router-a (koji nije), dozvoljavajući zahteve kao '/aPi/…' da zaobidu zaštitu. Napadači koriste ove ranjivosti da modifikuju config.sh datoteku i ubace shell komande koje preuzimaju i pokreću kripto-majnere iz eksterne lokacije. Maliciozni proces koristi ime ".fullgc" kako bi oponašao legitimni garbage collection proces i izbegne detekciju dok konzumira 85-100% CPU resursa. Binarni fajl je dostupan za Linux x86_64, ARM64 i macOS arhitekture.
Preporuka Sajber Radara
Svi korisnici Qinglong-a trebaju hitno da primene najnoviju zakrpu jer su ove ranjivosti aktivno iskorišćene u stvarnim napadima. Posebnu pažnju obratite na nadzor aktivnih procesa i restrikovanje mrežnog pristupa platformi kako bi sprecili buduće infiltracije.