New Linux Malware Threatens Docker Infrastructure

Binance News · 2025-05-28T13:23:45.000Z

According to Foresight News, a report by cybersecurity firm Kaspersky has revealed a new Linux malware activity targeting insecure Docker infrastructures. This threat is turning exposed servers into part of a decentralized cryptojacking network mining the privacy coin Dero. The attack exploits the publicly accessible Docker API on port 2375. Once access is gained, the malware generates malicious containers, infecting running containers to steal system resources for mining Dero. It also scans for other targets without needing a central command server. Docker, from a software perspective, is a set of applications or platform tools and products that use operating system-level virtualization to deliver software in small packages known as containers. The threat actors behind this operation have deployed two Golang-based implants: one named "nginx," which is deliberately disguised as legitimate web server software, and another called "cloud," which is the actual mining software for generating Dero. Once a host is compromised, the nginx module continuously scans the internet for more vulnerable Docker nodes, using tools like Masscan to identify targets and deploy new infected containers. To evade detection, the malware encrypts configuration data, including wallet addresses and Dero node endpoints, and hides itself in paths typically used by legitimate system software. Kaspersky found that the wallet and node infrastructure used in earlier cryptojacking activities targeting Kubernetes clusters in 2023 and 2024 are the same, indicating an evolution of a known operation rather than a completely new threat.

Согласно Foresight News, отчет кибербезопасной компании Kaspersky раскрыл новую активность вредоносного ПО для Linux, нацеленного на небезопасные инфраструктуры Docker. Эта угроза превращает открытые серверы в часть децентрализованной сети криптодобычи, занимающейся майнингом конфиденциальной монеты Dero.
Атака использует общедоступный API Docker на порту 2375. Как только доступ получен, вредоносное ПО генерирует злонамеренные контейнеры, заражая работающие контейнеры для кражи системных ресурсов для майнинга Dero. Оно также сканирует другие цели без необходимости в центральном командном сервере. Docker, с точки зрения программного обеспечения, представляет собой набор приложений или инструментов и продуктов платформы, которые используют виртуализацию на уровне операционной системы для доставки программного обеспечения в небольших пакетах, известных как контейнеры.
Угрожающие лица за этой операцией развернули два импланта на основе Golang: один под названием "nginx", который намеренно замаскирован под легитимное программное обеспечение веб-сервера, и другой под названием "cloud", который является фактическим программным обеспечением для майнинга Dero. Как только хост скомпрометирован, модуль nginx постоянно сканирует интернет в поисках более уязвимых узлов Docker, используя такие инструменты, как Masscan, чтобы идентифицировать цели и развертывать новые зараженные контейнеры.
Чтобы избежать обнаружения, вредоносное ПО шифрует конфигурационные данные, включая адреса кошельков и конечные точки узлов Dero, и скрывает себя в путях, обычно используемых легитимным системным программным обеспечением. Kaspersky обнаружил, что инфраструктура кошельков и узлов, используемая в более ранних действиях по криптодобыче, нацеленных на кластеры Kubernetes в 2023 и 2024 годах, остается неизменной, что указывает на эволюцию известной операции, а не на совершенно новую угрозу.

Новая угроза вредоносного ПО для Linux угрожает инфраструктуре Docker

Последние новости

Новая угроза вредоносного ПО для Linux угрожает инфраструктуре Docker

Последние новости

Популярные статьи