New Linux Malware Threatens Docker Infrastructure

Binance News · 2025-05-28T13:23:45.000Z

According to Foresight News, a report by cybersecurity firm Kaspersky has revealed a new Linux malware activity targeting insecure Docker infrastructures. This threat is turning exposed servers into part of a decentralized cryptojacking network mining the privacy coin Dero. The attack exploits the publicly accessible Docker API on port 2375. Once access is gained, the malware generates malicious containers, infecting running containers to steal system resources for mining Dero. It also scans for other targets without needing a central command server. Docker, from a software perspective, is a set of applications or platform tools and products that use operating system-level virtualization to deliver software in small packages known as containers. The threat actors behind this operation have deployed two Golang-based implants: one named "nginx," which is deliberately disguised as legitimate web server software, and another called "cloud," which is the actual mining software for generating Dero. Once a host is compromised, the nginx module continuously scans the internet for more vulnerable Docker nodes, using tools like Masscan to identify targets and deploy new infected containers. To evade detection, the malware encrypts configuration data, including wallet addresses and Dero node endpoints, and hides itself in paths typically used by legitimate system software. Kaspersky found that the wallet and node infrastructure used in earlier cryptojacking activities targeting Kubernetes clusters in 2023 and 2024 are the same, indicating an evolution of a known operation rather than a completely new threat.

De acordo com o Foresight News, um relatório da empresa de cibersegurança Kaspersky revelou uma nova atividade de malware Linux visando infraestruturas Docker inseguras. Esta ameaça está transformando servidores expostos em parte de uma rede descentralizada de cryptojacking minerando a moeda de privacidade Dero.
O ataque explora a API Docker acessível publicamente na porta 2375. Uma vez que o acesso é obtido, o malware gera contêineres maliciosos, infectando contêineres em execução para roubar recursos do sistema para a mineração de Dero. Ele também escaneia outros alvos sem precisar de um servidor de comando central. Docker, do ponto de vista do software, é um conjunto de aplicativos ou ferramentas e produtos de plataforma que utilizam virtualização em nível de sistema operacional para entregar software em pequenos pacotes conhecidos como contêineres.
Os atores de ameaças por trás desta operação implantaram dois implantes baseados em Golang: um chamado "nginx," que é deliberadamente disfarçado como software legítimo de servidor web, e outro chamado "cloud," que é o software real de mineração para gerar Dero. Uma vez que um host é comprometido, o módulo nginx escaneia continuamente a internet em busca de mais nós Docker vulneráveis, usando ferramentas como Masscan para identificar alvos e implantar novos contêineres infectados.
Para evitar a detecção, o malware criptografa dados de configuração, incluindo endereços de carteira e pontos finais de nós Dero, e se esconde em caminhos tipicamente usados por software de sistema legítimo. A Kaspersky descobriu que a infraestrutura de carteira e nó utilizada em atividades anteriores de cryptojacking visando clusters Kubernetes em 2023 e 2024 é a mesma, indicando uma evolução de uma operação conhecida em vez de uma nova ameaça completamente.

Nova Ameaça de Malware Linux Ameaça Infraestrutura Docker

Últimas Notícias