Umami (Next.js) compromis: exploitation de CVE-2025-66478 pour miner du Monero sur un serveur Hetzner
Source: Blog personnel de Jake Saunders. Contexte: lâauteur reçoit un abus report de son hĂ©bergeur Hetzner signalant du scanning rĂ©seau sortant; il dĂ©couvre que son instance Umami (analytics) a Ă©tĂ© compromis via une faille Next.js rĂ©cemment divulguĂ©e. Lâincident dĂ©marre par un email dâabus Hetzner signalant du scanning vers une plage dâIP en ThaĂŻlande. Sur le serveur (hĂ©bergĂ© chez Hetzner et orchestrĂ© avec Coolify), lâauteur observe une charge CPU anormale et des processus de minage (xmrig) tournant en tant quâutilisateur UID 1001. Lâinvestigation montre la prĂ©sence dâun dossier xmrig-6.24.0 Ă lâemplacement interne de Next.js dans le conteneur Umami, avec une commande pointant vers un pool Monero. âïž ...