CrowdStrike 揭露 Docker、Kubernetes 挖礦攻擊

CrowdStrike 透露，一波針對暴露 Docker 與 Kubernetes 的挖礦攻擊，正利用容器基礎設施漏洞與域名濫用擴散。

這項消息在 KubeCon + CloudNativeCon North America 公布，CrowdStrike 指出，攻擊者鎖定的是對外開放、但防護不足的容器環境。這不是單一應用被打穿，而是把 Docker 與 Kubernetes 當成整個算力入口。

對雲端團隊來說，這類事件的重點不只是「有沒有被挖礦」。更麻煩的是，當攻擊點落在編排層，受影響的通常是整個叢集的資源分配與工作負載可見度。

發生了什麼

CrowdStrike 描述的手法，核心是把暴露在網際網路上的容器服務當成入口。攻擊者不一定先碰資料庫或業務系統，而是先找出設定鬆散、權限過大的節點，再把它變成挖礦資源。

公司提到，這波活動還結合了隱晦的網域與基礎設施濫用。這代表攻擊者不只在主機上跑惡意程序，也在外部支援鏈上做文章，讓追查來源與封鎖路徑更複雜。

從防守角度看，這類案例和傳統挖礦木馬有差別。傳統模式多半是單點感染，但容器環境一旦被打進去，攻擊面會直接擴到多個 workload、namespace，甚至整個叢集。

• 攻擊目標是暴露的 Docker 與 Kubernetes 基礎設施
• 使用隱晦網域與基礎設施濫用支援挖礦行動
• 風險不只在單一容器，而是編排層與叢集層
• 會議現場公布，顯示容器安全仍是熱門議題

對已經在生產環境跑叢集的團隊，這也是一個很直接的提醒。影像掃描、runtime policy 很重要，但如果入口對外暴露、存取控制寬鬆、網路衛生不足，攻擊者仍能把你的算力變成他們的礦機。

為什麼重要

Cryptojacking 看起來沒有資料外洩那麼刺眼，但它會實際吃掉 CPU、拉高雲端費用，還可能掩蓋更深層的入侵。對 DevOps 與平台團隊來說，這種成本通常先反映在帳單，再反映在告警。

在 Kubernetes 裡，這種影響會被放大。因為一個節點被濫用，常常不是只拖慢單一服務，而是讓同一叢集內的多個工作負載一起受影響，排程、擴縮容與資源配額都會開始失真。

這也說明，容器安全不能只看映像檔是否乾淨。從對外端點、API 存取、權限邊界到工作負載行為，都要一起管，否則攻擊者只要拿到控制面或特權容器，就能比防守方更快橫向移動。

對產業來說，這類事件反映的是雲原生環境的常態風險：基礎設施越彈性，配置失誤的代價也越高。誰能更快看見異常算力消耗、異常域名流量與權限濫用，誰就更有機會把損失壓在擴散前。

真正的問題不是 Docker 或 Kubernetes 能不能被打，而是團隊是否已把「暴露面管理」當成日常工作。當第一個警訊是電費、雲帳單或 CPU 飆高時，通常已經晚了一步。