XMRig, choć jest legalnym narzędziem open source do kopania kryptowalut, stał się w ostatnich latach jednym z najbardziej rozpowszechnionych programów wśród cyberprzestępców. Instalują go na cudzych maszynach, by wykopywać Monero bez wiedzy właściciela. Eksperci z firmy Expel, która specjalizuje się w zarządzanym wykrywaniu i reagowaniu (MDR), zwracają uwagę, że obecność XMRig w środowisku organizacji często oznacza poważniejsze dziury – takie jak słabe hasła, niezaktualizowane komponenty lub skompromitowane poświadczenia – pozwalające atakującym wejść i rozwinąć swoje operacje.

Autor: 5 min czytania

XMRig – legalne narzędzie z „ciemnej strony”

XMRig z założenia jest narzędziem do wydobywania kryptowalut, dostępnym np. na GitHubie i używanym przez entuzjastów kryptowalut do legalnych operacji wydobywczych. Jednak jego cechy – wydajność, kompatybilność z różnymi platformami i możliwość działania w środowiskach o ograniczonych zasobach – sprawiły, że stał się atrakcyjnym komponentem dla atakujących. Może być uruchamiany na każdym hoście: od stacji roboczych z Windows, poprzez serwery Linux, aż po kontenery Kubernetes czy instancje w chmurach publicznych, takich jak AWS EC2.

Cyberprzestępcy zaczęli szerzej korzystać z XMRig na kilka sposobów. Część kampanii polega na wykorzystaniu podatności jak React2Shell, która rozprzestrzenia koparki poprzez skompromitowane aplikacje webowe. Inne są bardziej prozaiczne – opierają się na przejętych poświadczeniach, brute-force’owych atakach na aplikacje zdalnego dostępu, a także dystrybucji przez commodity malware i trojany. Obecność koparek na serwerach nie zawsze oznacza bezpośredni atak na te narzędzia, ale często wskazuje, że środowisko zostało wcześniej naruszone.

Dla wielu organizacji kradzież mocy obliczeniowej może wydawać się mniej groźna niż ransomware czy spyware, ale specjaliści ostrzegają – XMRig zwykle pojawia się tam, gdzie istnieje inny atak lub luka, która jeszcze nie została naprawiona. Jeśli atakujący potrafi umieścić koparkę w danym środowisku, równie dobrze może wprowadzić do niego backdoory, ransomware lub narzędzia do eskalacji uprawnień.

Gdzie i jak jest instalowany XMRig

Kampanie wykorzystujące XMRig nie ograniczają się tylko do jednego typu środowiska czy wektora. W przeszłości analitycy wykryli między innymi:

  • XMRig dystrybuowany poprzez torrenty z podmienionymi instalatorami popularnych gier – użytkownicy ściągają „gry”, a nieświadomie instalują kryptominer, który następnie pracuje w tle, wykorzystując ich moc obliczeniową.
  • Wykorzystanie aktualizacji XMRig oraz wzrost wartości Monero w 2025 r. jako zachęta dla atakujących do ponownego wdrażania koparek w ramach szerokich infekcji.
  • Automatyczne wykorzystanie narzędzi systemowych (np. PowerShell lub skryptów batch) do pobierania i uruchamiania koparek poprzez tzw. LOLBins.

Ponieważ XMRig jest kompatybilny z szeroką gamą systemów i platform, atakujący mogą używać tych samych narzędzi do atakowania Desktopów, serwerów, kontenerów Kubernetes czy środowisk chmurowych, co czyni obronę jeszcze bardziej skomplikowaną.

Wskazówki detekcji i reagowania

Choć sam XMRig nie jest złośliwym oprogramowaniem, jego obecność może być pierwszym symptomem poważniejszego ataku. Eksperci zalecają zwrócenie uwagi na:

  • nietypowo wysokie wykorzystanie CPU w godzinach, gdy obciążenie powinno być niskie,
  • połączenia wychodzące do pooli wydobywczych Monero oraz sieci szyfrowane o charakterystycznych wzorcach,
  • nowe zadania harmonogramu zadań (Windows) lub cron joby (Linux),
  • niespodziewane modyfikacje rejestru czy skryptów startowych,
  • obrazy kontenerów lub instancje chmurowe działające bez właściwej kontroli polityk bezpieczeństwa.

Dodatkowo w środowiskach kontenerowych warto przeglądać polityki bezpieczeństwa pod kątem ustawionych profili bazowych, a w chmurze publicznej włączać narzędzia takie jak AWS GuardDuty do monitorowania podejrzanej aktywności koparek.

Podsumowanie

XMRig może nieść za sobą konsekwencje takie jak wydłużone działanie ataków i drenaż zasobów oraz ujawnienie systemowych słabości, które może wykorzystać każdy groźniejszy przeciwnik. Obecność nieautoryzowanych koparek powinna skłonić zespoły bezpieczeństwa do gruntownej analizy całej organizacji – od haseł i kont uprzywilejowanych, poprzez polityki aktualizacji, aż po konfiguracje środowisk kontenerowych i chmurowych. W czasach, gdy popularność oraz wartość operacji kryptowalutowych nadal rosną, wykrywanie XMRig może być ważnym sygnałem ostrzegawczym w cyklu życia incydentu – nie tylko jako kwestia kosztów energii czy wykorzystania CPU, ale wskaźnik głębszych problemów bezpieczeństwa, którymi organizacje muszą się zająć.