New Linux Malware Threatens Docker Infrastructure

Binance News · 2025-05-28T13:23:45.000Z

According to Foresight News, a report by cybersecurity firm Kaspersky has revealed a new Linux malware activity targeting insecure Docker infrastructures. This threat is turning exposed servers into part of a decentralized cryptojacking network mining the privacy coin Dero. The attack exploits the publicly accessible Docker API on port 2375. Once access is gained, the malware generates malicious containers, infecting running containers to steal system resources for mining Dero. It also scans for other targets without needing a central command server. Docker, from a software perspective, is a set of applications or platform tools and products that use operating system-level virtualization to deliver software in small packages known as containers. The threat actors behind this operation have deployed two Golang-based implants: one named "nginx," which is deliberately disguised as legitimate web server software, and another called "cloud," which is the actual mining software for generating Dero. Once a host is compromised, the nginx module continuously scans the internet for more vulnerable Docker nodes, using tools like Masscan to identify targets and deploy new infected containers. To evade detection, the malware encrypts configuration data, including wallet addresses and Dero node endpoints, and hides itself in paths typically used by legitimate system software. Kaspersky found that the wallet and node infrastructure used in earlier cryptojacking activities targeting Kubernetes clusters in 2023 and 2024 are the same, indicating an evolution of a known operation rather than a completely new threat.

Potrivit Foresight News, un raport al firmei de cibersecuritate Kaspersky a relevat o nouă activitate de malware pentru Linux care vizează infrastructuri Docker nesigure. Această amenințare transformă serverele expuse într-o parte a unei rețele descentralizate de cryptojacking care minează moneda de confidențialitate Dero.
Atacul exploatează API-ul Docker accesibil public pe portul 2375. Odată ce accesul este obținut, malware-ul generează containere malițioase, infectând containerele în funcțiune pentru a fura resursele sistemului pentru mineritul Dero. De asemenea, scanează pentru alte ținte fără a necesita un server de comandă central. Docker, din perspectiva software-ului, este un set de aplicații sau instrumente și produse de platformă care utilizează virtualizarea la nivelul sistemului de operare pentru a livra software în pachete mici cunoscute sub numele de containere.
Actorii de amenințare din spatele acestei operațiuni au desfășurat două implanturi bazate pe Golang: unul numit "nginx," care este deliberat deghizat ca software legitim de server web, și altul numit "cloud," care este efectiv software-ul de minerit pentru generarea Dero. Odată ce un gazdă este compromisă, modulul nginx scanează continuu internetul pentru mai multe noduri Docker vulnerabile, folosind instrumente precum Masscan pentru a identifica țintele și a desfășura noi containere infectate.
Pentru a evita detectarea, malware-ul criptează datele de configurare, inclusiv adresele de portofel și punctele finale ale nodurilor Dero, și se ascunde în căi utilizate de obicei de software-ul de sistem legitim. Kaspersky a descoperit că infrastructura pentru portofel și noduri utilizată în activitățile anterioare de cryptojacking care vizează clustere Kubernetes în 2023 și 2024 este aceeași, indicând o evoluție a unei operațiuni cunoscute mai degrabă decât o amenințare complet nouă.

Noua amenințare de malware Linux amenință infrastructura Docker

Ultimele știri