Theo The Next Web, các nhà nguyên cứu của công ty an ninh mạng PureSec (Israel) đã tìm ra cách các đoạn mã đào tiền ảo có thể bị sử dụng trong những chương trình có kiến trúc không cài đặt, cấu hình máy chủ.
Dạng tấn công này có mối liên quan rõ ràng tới những công ty phát hành ứng dụng không máy chủ trên các nền tảng như AWS Lambda, Microsoft Azure. Qua đó, kẻ tấn công có thể tung ra hàng loạt mã đào tiền ảo nhằm phục vụ lợi ích cá nhân hoặc tập thể đứng sau.
Trong thử nghiệm, nhóm nghiên cứu đã buộc các ứng dụng này tự động tải xuống những đoạn mã đào tiền ảo có sẵn. Quá trình này diễn ra song song và không ảnh hưởng tới hoạt động gốc của chương trình, cho phép đoạn mã ăn cắp sức mạnh máy tính hết công suất mà vẫn “vô hình”.
Các nhà nghiên cứu cũng lấy được mã không máy chủ để quét và sau đó phát tán hàng loạt đoạn mã độc cho tới khi đạt giới hạn của nền tảng được thử nghiệm.
Điều này đồng nghĩa kẻ tấn công có thể tạo ra một cuộc “đào mỏ” trên diện rộng và nạn nhân chỉ biết được sự bất thường cho tới khi nhận hóa đơn thanh toán.
PureSec đã thử nghiệm tấn công trên 3 nhà cung cấp host không máy chủ khác nhau nhưng không nêu tên cụ thể. Công ty nhấn mạnh vấn đề này không phải do nhà cung cấp mà thuộc về tính năng tự động quét, nằm trong lõi của công nghệ không máy chủ.
“Hacker có thể dễ dàng biến một lỗ hổng đơn lẻ thành một "nông trại cày tiền ảo" gần như ngay lập tức. Giống như nhiều công nghệ mới khác, Serverless mang đến những thách thức mới về bảo mật”, Giám đốc công nghệ kiêm đồng sáng lập PureSec- Ory Segal đánh giá.
Ông Shaked Zin, CEO kiêm đồng sáng lập công ty cho rằng vì kiến trúc không máy chủ vẫn còn mới, nên nhiều công ty đang phải vật lộn để tìm cách bảo vệ ứng dụng của mình khỏi các cuộc tấn công.