New Linux Malware Threatens Docker Infrastructure

Binance News · 2025-05-28T13:23:45.000Z

According to Foresight News, a report by cybersecurity firm Kaspersky has revealed a new Linux malware activity targeting insecure Docker infrastructures. This threat is turning exposed servers into part of a decentralized cryptojacking network mining the privacy coin Dero. The attack exploits the publicly accessible Docker API on port 2375. Once access is gained, the malware generates malicious containers, infecting running containers to steal system resources for mining Dero. It also scans for other targets without needing a central command server. Docker, from a software perspective, is a set of applications or platform tools and products that use operating system-level virtualization to deliver software in small packages known as containers. The threat actors behind this operation have deployed two Golang-based implants: one named "nginx," which is deliberately disguised as legitimate web server software, and another called "cloud," which is the actual mining software for generating Dero. Once a host is compromised, the nginx module continuously scans the internet for more vulnerable Docker nodes, using tools like Masscan to identify targets and deploy new infected containers. To evade detection, the malware encrypts configuration data, including wallet addresses and Dero node endpoints, and hides itself in paths typically used by legitimate system software. Kaspersky found that the wallet and node infrastructure used in earlier cryptojacking activities targeting Kubernetes clusters in 2023 and 2024 are the same, indicating an evolution of a known operation rather than a completely new threat.

Według Foresight News, raport firmy zajmującej się cyberbezpieczeństwem Kaspersky ujawnił nową działalność złośliwego oprogramowania Linux, celującą w niebezpieczne infrastruktury Docker. To zagrożenie przekształca wystawione serwery w część zdecentralizowanej sieci kradzieży kryptowalut, wydobywającej monetę prywatności Dero.
Atak wykorzystuje publicznie dostępną API Docker na porcie 2375. Po uzyskaniu dostępu, złośliwe oprogramowanie generuje złośliwe kontenery, infekując działające kontenery, aby kraść zasoby systemowe do wydobywania Dero. Skanuje również inne cele bez potrzeby centralnego serwera dowodzenia. Docker, z perspektywy oprogramowania, to zestaw aplikacji lub narzędzi platformowych i produktów, które wykorzystują wirtualizację na poziomie systemu operacyjnego do dostarczania oprogramowania w małych paczkach znanych jako kontenery.
Sprawcy zagrożenia stojący za tą operacją wdrożyli dwa implanty oparte na Golang: jeden o nazwie "nginx", który jest celowo ukryty jako legalne oprogramowanie serwera internetowego, oraz drugi o nazwie "cloud", który jest rzeczywistym oprogramowaniem do wydobywania Dero. Gdy host zostanie skompromitowany, moduł nginx ciągle skanuje internet w poszukiwaniu bardziej wrażliwych węzłów Docker, korzystając z narzędzi takich jak Masscan do identyfikacji celów i wdrażania nowych zainfekowanych kontenerów.
Aby uniknąć wykrycia, złośliwe oprogramowanie szyfruje dane konfiguracyjne, w tym adresy portfeli i punkty końcowe węzłów Dero, i ukrywa się w ścieżkach typowo używanych przez legalne oprogramowanie systemowe. Kaspersky odkrył, że infrastruktura portfela i węzła używana w wcześniejszych działaniach związanych z kradzieżą kryptowalut, które celowały w klastry Kubernetes w 2023 i 2024 roku, jest taka sama, co wskazuje na ewolucję znanej operacji, a nie całkowicie nowe zagrożenie.

Nowe zagrożenie złośliwego oprogramowania Linux zagraża infrastrukturze Docker

Najnowsze wiadomości