Menurut Foresight News, laporan oleh perusahaan cybersecurity Kaspersky telah mengungkapkan aktivitas malware Linux baru yang menargetkan infrastruktur Docker yang tidak aman. Ancaman ini mengubah server yang terekspos menjadi bagian dari jaringan cryptojacking terdesentralisasi yang menambang koin privasi Dero.
Serangan ini mengeksploitasi API Docker yang dapat diakses publik pada port 2375. Setelah akses diperoleh, malware menghasilkan kontainer jahat, menginfeksi kontainer yang sedang berjalan untuk mencuri sumber daya sistem untuk menambang Dero. Ini juga memindai target lain tanpa memerlukan server perintah pusat. Docker, dari perspektif perangkat lunak, adalah sekumpulan aplikasi atau alat dan produk platform yang menggunakan virtualisasi tingkat sistem operasi untuk menyampaikan perangkat lunak dalam paket kecil yang dikenal sebagai kontainer.
Para pelaku ancaman di balik operasi ini telah menyebarkan dua implan berbasis Golang: satu bernama "nginx," yang sengaja disamarkan sebagai perangkat lunak server web yang sah, dan satu lagi disebut "cloud," yang merupakan perangkat lunak penambangan sebenarnya untuk menghasilkan Dero. Setelah sebuah host terkompromi, modul nginx terus-menerus memindai internet untuk mencari node Docker yang lebih rentan, menggunakan alat seperti Masscan untuk mengidentifikasi target dan menyebarkan kontainer terinfeksi baru.
Untuk menghindari deteksi, malware mengenkripsi data konfigurasi, termasuk alamat dompet dan titik akhir node Dero, dan menyembunyikan dirinya di jalur yang biasanya digunakan oleh perangkat lunak sistem yang sah. Kaspersky menemukan bahwa infrastruktur dompet dan node yang digunakan dalam kegiatan cryptojacking sebelumnya yang menargetkan kluster Kubernetes pada 2023 dan 2024 adalah sama, menunjukkan evolusi dari operasi yang dikenal alih-alih ancaman yang sepenuhnya baru.