一個新的可蠕蟲殭屍網路透過GitHub和Pastebin進行了傳播，以在目標系統上安裝加密貨幣礦工和後門程式，並且已經返回了具有擴充套件功能的功能，可以破壞Web應用程式，IP攝像機和路由器。

上個月初，研究人員記錄了一個名為“ Gitpaste-12 ”的加密採礦活動，該活動使用GitHub託管包含多達12個已知攻擊模組的惡意程式碼，這些惡意程式碼透過從Pastebin URL下載的命令執行。

根據研究人員的說法，第二波攻擊始於11月10日，使用的是來自另一個GitHub儲存庫的有效負載，其中包括一個Linux加密礦工（“ ls”），該檔案包含用於暴力破解的密碼列表嘗試（“get past”），以及針對x86_64 Linux系統的本地特權升級漏洞。

最初的感染透過X10-unix（一種用Go程式語言編寫的二進位制檔案）進行，然後從GitHub下載下一階段的有效負載。

分析中指出：“該蠕蟲針對Web應用程式，IP攝像機，路由器等進行了一系列廣泛的攻擊，包括至少31個已知漏洞（在以前的Gitpaste-12示例中也發現了7個漏洞），並試圖破壞開放Android Debug Bridge連線和現有的惡意軟體後門程式”。

31個漏洞列表中包括F5 BIG-IP流量管理使用者介面（CVE-2020-5902），Pi-hole Web（CVE-2020-8816），Tenda AC15 AC1900（CVE-2020-10987）中的遠端程式碼漏洞和vBulletin（CVE-2020-17496），以及FUEL CMS中的SQL注入錯誤（CVE-2020-17463），這些都已在今年曝光。

值得注意的是，十月份發現了Mirai殭屍網路的新變體Ttint使用兩個Tenda路由器零日漏洞（包括CVE-2020-10987）來傳播能夠執行拒絕攻擊的遠端訪問木馬（RAT）服務攻擊，執行惡意命令並實現反向外殼以進行遠端訪問。

除了在機器上安裝X10-unix和Monero加密挖掘軟體之外，該惡意軟體還打開了監聽30003和30006埠的後門，將受害者的外部IP地址上傳到私有Pastebin貼上，並嘗試連線到Android Debug Bridge連線在埠5555上。

成功連線後，它將繼續下載Android APK檔案（“ weixin。apk”），該檔案最終將安裝ARM CPU版本的X10-unix。

根據估計，總共發現了至少100個不同的宿主來傳播感染，七成Linux伺服器中招。