Hackers usaram credenciais roubadas da AWS para minerar secretamente criptomoedas, detectadas pela AWS GuardDuty devido a um comportamento incomum. Hackers used stolen AWS credentials to secretly mine cryptocurrency, detected by AWS GuardDuty due to unusual behavior.

Em novembro de 2025, hackers usaram credenciais roubadas do AWS IAM para minerar secretamente criptomoedas em recursos de nuvem comprometidos, implantando malware SBRMiner-MULTI no EC2 e no ECS em poucos minutos após obter acesso. In November 2025, hackers used stolen AWS IAM credentials to secretly mine cryptocurrency on compromised cloud resources, deploying SBRMiner-MULTI malware on EC2 and ECS within minutes of gaining access. Eles evitaram a detecção por testes com a bandeira RunInstances DryRun, terminação de instância desativada para persistência, criaram clusters ECS de auto-escalada e criaram funções públicas Lambda para acesso a longo prazo. They avoided detection by testing with the RunInstances DryRun flag, disabled instance termination for persistence, created auto-scaling ECS clusters, and set up public Lambda functions for long-term access. O AWS GuardDuty detectou a atividade por meio de anomalias comportamentais, alertando os clientes afetados. AWS GuardDuty detected the activity via behavioral anomalies, prompting alerts to affected customers. A violação, ligada a uma gestão de credenciais deficiente, como chaves de vida longa e MFA ausente, ressalta os riscos de práticas fracas de segurança na nuvem. The breach, linked to poor credential management like long-lived keys and missing MFA, underscores the risks of weak cloud security practices.