New Linux Malware Threatens Docker Infrastructure

Binance News · 2025-05-28T13:23:45.000Z

According to Foresight News, a report by cybersecurity firm Kaspersky has revealed a new Linux malware activity targeting insecure Docker infrastructures. This threat is turning exposed servers into part of a decentralized cryptojacking network mining the privacy coin Dero. The attack exploits the publicly accessible Docker API on port 2375. Once access is gained, the malware generates malicious containers, infecting running containers to steal system resources for mining Dero. It also scans for other targets without needing a central command server. Docker, from a software perspective, is a set of applications or platform tools and products that use operating system-level virtualization to deliver software in small packages known as containers. The threat actors behind this operation have deployed two Golang-based implants: one named "nginx," which is deliberately disguised as legitimate web server software, and another called "cloud," which is the actual mining software for generating Dero. Once a host is compromised, the nginx module continuously scans the internet for more vulnerable Docker nodes, using tools like Masscan to identify targets and deploy new infected containers. To evade detection, the malware encrypts configuration data, including wallet addresses and Dero node endpoints, and hides itself in paths typically used by legitimate system software. Kaspersky found that the wallet and node infrastructure used in earlier cryptojacking activities targeting Kubernetes clusters in 2023 and 2024 are the same, indicating an evolution of a known operation rather than a completely new threat.

Según Foresight News, un informe de la firma de ciberseguridad Kaspersky ha revelado una nueva actividad de malware para Linux dirigida a infraestructuras Docker inseguras. Esta amenaza está convirtiendo los servidores expuestos en parte de una red descentralizada de criptojacking que extrae la criptomoneda privada Dero.
El ataque explota la API pública de Docker en el puerto 2375. Una vez obtenido acceso, el malware genera contenedores maliciosos, infectando los contenedores en ejecución para robar recursos del sistema y minar Dero. También escanea en busca de otros objetivos sin necesidad de un servidor de comando central. Docker, desde una perspectiva de software, es un conjunto de aplicaciones o herramientas y productos de plataforma que utilizan la virtualización a nivel de sistema operativo para distribuir software en pequeños paquetes conocidos como contenedores.
Los actores de amenazas responsables de esta operación han implementado dos implantes basados ​​en Golang: uno llamado "nginx", que se disfraza deliberadamente de software legítimo de servidor web, y otro llamado "cloud", que es el software de minería para generar Dero. Una vez comprometido un host, el módulo nginx escanea continuamente internet en busca de nodos Docker más vulnerables, utilizando herramientas como Masscan para identificar objetivos y desplegar nuevos contenedores infectados.
Para evitar ser detectado, el malware cifra los datos de configuración, incluyendo las direcciones de la billetera y los endpoints del nodo Dero, y se oculta en rutas que suele utilizar el software legítimo del sistema. Kaspersky descubrió que la infraestructura de la billetera y del nodo utilizada en actividades de cryptojacking anteriores dirigidas a clústeres de Kubernetes en 2023 y 2024 es la misma, lo que indica la evolución de una operación conocida, en lugar de una amenaza completamente nueva.

Nuevo malware de Linux amenaza la infraestructura de Docker

Lo más reciente