Secondo Foresight News, un rapporto della società di cybersecurity Kaspersky ha rivelato una nuova attività di malware Linux che prende di mira infrastrutture Docker insicure. Questa minaccia sta trasformando i server esposti in parte di una rete decentralizzata di cryptojacking che estrae la moneta per la privacy Dero.
L'attacco sfrutta l'API Docker accessibile pubblicamente sulla porta 2375. Una volta ottenuto l'accesso, il malware genera contenitori dannosi, infettando contenitori in esecuzione per rubare risorse di sistema per il mining di Dero. Scansione anche per altri bersagli senza necessità di un server di comando centrale. Docker, da una prospettiva software, è un insieme di applicazioni o strumenti e prodotti di piattaforma che utilizzano la virtualizzazione a livello di sistema operativo per fornire software in piccoli pacchetti noti come contenitori.
Gli attori della minaccia dietro a questa operazione hanno distribuito due impianti basati su Golang: uno chiamato "nginx," che è deliberatamente mascherato da software di server web legittimo, e un altro chiamato "cloud," che è il software di mining reale per generare Dero. Una volta che un host è compromesso, il modulo nginx scansiona continuamente Internet alla ricerca di ulteriori nodi Docker vulnerabili, utilizzando strumenti come Masscan per identificare i bersagli e distribuire nuovi contenitori infetti.
Per evitare il rilevamento, il malware crittografa i dati di configurazione, inclusi gli indirizzi dei wallet e i punti finali dei nodi Dero, e si nasconde in percorsi tipicamente utilizzati da software di sistema legittimo. Kaspersky ha scoperto che l'infrastruttura di wallet e nodi utilizzata nelle precedenti attività di cryptojacking che prendevano di mira i cluster Kubernetes nel 2023 e nel 2024 è la stessa, indicando un'evoluzione di un'operazione nota piuttosto che una minaccia completamente nuova.