New Linux Malware Threatens Docker Infrastructure

Binance News · 2025-05-28T13:23:45.000Z

According to Foresight News, a report by cybersecurity firm Kaspersky has revealed a new Linux malware activity targeting insecure Docker infrastructures. This threat is turning exposed servers into part of a decentralized cryptojacking network mining the privacy coin Dero. The attack exploits the publicly accessible Docker API on port 2375. Once access is gained, the malware generates malicious containers, infecting running containers to steal system resources for mining Dero. It also scans for other targets without needing a central command server. Docker, from a software perspective, is a set of applications or platform tools and products that use operating system-level virtualization to deliver software in small packages known as containers. The threat actors behind this operation have deployed two Golang-based implants: one named "nginx," which is deliberately disguised as legitimate web server software, and another called "cloud," which is the actual mining software for generating Dero. Once a host is compromised, the nginx module continuously scans the internet for more vulnerable Docker nodes, using tools like Masscan to identify targets and deploy new infected containers. To evade detection, the malware encrypts configuration data, including wallet addresses and Dero node endpoints, and hides itself in paths typically used by legitimate system software. Kaspersky found that the wallet and node infrastructure used in earlier cryptojacking activities targeting Kubernetes clusters in 2023 and 2024 are the same, indicating an evolution of a known operation rather than a completely new threat.

Selon Foresight News, un rapport de la société de cybersécurité Kaspersky a révélé une nouvelle activité de malware Linux ciblant des infrastructures Docker non sécurisées. Cette menace transforme des serveurs exposés en partie d'un réseau décentralisé de cryptojacking minant la cryptomonnaie de confidentialité Dero.
L'attaque exploite l'API Docker accessible au public sur le port 2375. Une fois l'accès obtenu, le malware génère des conteneurs malveillants, infectant des conteneurs en cours d'exécution pour voler des ressources système pour le minage de Dero. Il scanne également d'autres cibles sans avoir besoin d'un serveur de commande central. Docker, d'un point de vue logiciel, est un ensemble d'applications ou d'outils et produits de plateforme qui utilisent la virtualisation au niveau du système d'exploitation pour livrer des logiciels dans de petits paquets appelés conteneurs.
Les acteurs de la menace derrière cette opération ont déployé deux implants basés sur Golang : l'un nommé "nginx", qui est délibérément déguisé en logiciel de serveur web légitime, et un autre appelé "cloud", qui est le véritable logiciel de minage pour générer Dero. Une fois qu'un hôte est compromis, le module nginx scanne en continu Internet à la recherche de nœuds Docker plus vulnérables, utilisant des outils comme Masscan pour identifier des cibles et déployer de nouveaux conteneurs infectés.
Pour éviter la détection, le malware crypte les données de configuration, y compris les adresses de portefeuille et les points de terminaison des nœuds Dero, et se cache dans des chemins généralement utilisés par des logiciels système légitimes. Kaspersky a découvert que l'infrastructure de portefeuille et de nœuds utilisée dans les précédentes activités de cryptojacking ciblant les clusters Kubernetes en 2023 et 2024 est la même, indiquant une évolution d'une opération connue plutôt qu'une menace complètement nouvelle.

Un nouveau malware Linux menace l'infrastructure Docker

Dernières actualités