要挟行为者正在运用Selenium Grid的装备过错来布置修改版的XMRig东西，用于发掘Monero（门罗币）加密钱银。

  Selenium Grid是一个盛行的开源Web运用测验结构，它答应开发者在多台机器和浏览器上自动化测验。它在云环境中运用，并且在Docker Hub上的下载量超越1亿次。

  测验使命通过API交互从中心集线器分发到服务的各个节点上履行，这些节点具有不一样的操作系统、浏览器和其他环境改变，以供给全面的测验成果。

  云安全公司Wiz的研讨人员发现，他们正在盯梢的歹意活动“SeleniumGreed”现已运转了一年多。这个活动运用了服务在默许装备中缺少认证机制的缺点。

  依据Wiz的研讨，Selenium Grid默许情况下没有激活的身份验证机制。关于揭露的服务，任何人都可以拜访运用程序测验实例、下载文件和履行指令。

  Selenium 在其文档中正告了互联网露出实例的危险，主张那些需求长途拜访的人通过设置防火墙来避免没有通过授权的拜访。但是，这个正告不足以避免更大规划的过错装备。

  Wiz说到，要挟行为者正在运用Selenium WebDriver API来更改方针实例中Chrome的默许二进制途径，使其指向Python解说器。然后，它们运用“add_argument”办法将base64编码的Python脚本作为参数传递。当WebDriver建议发动Chrome的恳求时，它会运用供给的脚本履行Python解说器。

  Python脚本建立了一个反向shell，使进犯者简直能长途拜访实例。接下来，进犯者依托Selenium用户（seluser），可以在没有暗码的情况下履行sudo指令，在被损坏的实例上放置自定义XMRig矿工，并将其设置为在后台运转。

  为了躲避检测，进犯者常常运用受损的Selenium节点作业负载作为后续感染的中心指令和操控服务器（C2），以及作为采矿池署理。

  Wiz公司运用FOFA搜索引擎对揭露网络上露出的网络财物进行了扫描，成果显现至少有30,000个Selenium实例现在可以终究靠公共网络拜访到。

  Wiz在陈述中说：“任何缺少恰当身份验证和网络安全策略的Selenium Grid服务版别都简单遭到长途指令履行的进犯。”

  “依据咱们的数据，本博客中描绘的要挟针对的是Selenium v3.141.59，但它也或许演变为运用更高版别，其他要挟行为者或许已这样做了，”研讨人员指出。