New Linux Malware Threatens Docker Infrastructure

Binance News · 2025-05-28T13:23:45.000Z

According to Foresight News, a report by cybersecurity firm Kaspersky has revealed a new Linux malware activity targeting insecure Docker infrastructures. This threat is turning exposed servers into part of a decentralized cryptojacking network mining the privacy coin Dero. The attack exploits the publicly accessible Docker API on port 2375. Once access is gained, the malware generates malicious containers, infecting running containers to steal system resources for mining Dero. It also scans for other targets without needing a central command server. Docker, from a software perspective, is a set of applications or platform tools and products that use operating system-level virtualization to deliver software in small packages known as containers. The threat actors behind this operation have deployed two Golang-based implants: one named "nginx," which is deliberately disguised as legitimate web server software, and another called "cloud," which is the actual mining software for generating Dero. Once a host is compromised, the nginx module continuously scans the internet for more vulnerable Docker nodes, using tools like Masscan to identify targets and deploy new infected containers. To evade detection, the malware encrypts configuration data, including wallet addresses and Dero node endpoints, and hides itself in paths typically used by legitimate system software. Kaspersky found that the wallet and node infrastructure used in earlier cryptojacking activities targeting Kubernetes clusters in 2023 and 2024 are the same, indicating an evolution of a known operation rather than a completely new threat.

Згідно з Foresight News, звіт компанії з кібербезпеки Kaspersky виявив нову активність шкідливого програмного забезпечення для Linux, яка націлюється на незахищені інфраструктури Docker. Ця загроза перетворює відкриті сервери на частину децентралізованої мережі криптоджекінгу, що видобуває монету конфіденційності Dero.
Атака експлуатує відкритий API Docker на порту 2375. Після отримання доступу шкідливе програмне забезпечення генерує злочинні контейнери, заражаючи працюючі контейнери для викрадення системних ресурсів для видобутку Dero. Воно також сканує інші цілі без потреби в центральному сервері командування. Docker, з точки зору програмного забезпечення, є набором додатків або платформних інструментів і продуктів, які використовують віртуалізацію на рівні операційної системи для доставки програмного забезпечення в невеликих пакетах, відомих як контейнери.
Зловмисники, які стоять за цією операцією, розгорнули два імплантати на основі Golang: один з назвою "nginx", який навмисно маскується під легітимне програмне забезпечення веб-сервера, та інший, названий "cloud", який є фактичним програмним забезпеченням для видобутку Dero. Після компрометації хоста модуль nginx постійно сканує Інтернет у пошуках більш вразливих вузлів Docker, використовуючи інструменти, такі як Masscan, для виявлення цілей та розгортання нових заражених контейнерів.
Щоб уникнути виявлення, шкідливе програмне забезпечення шифрує конфігураційні дані, включаючи адреси гаманців та кінцеві точки вузлів Dero, і ховається в шляхах, які зазвичай використовуються легітимним системним програмним забезпеченням. Kaspersky виявила, що інфраструктура гаманців і вузлів, яка використовувалася в попередніх активностях криптоджекінгу, що націлювалися на кластери Kubernetes у 2023 та 2024 роках, є тією ж самою, що вказує на еволюцію відомої операції, а не на абсолютно нову загрозу.

Нове шкідливе програмне забезпечення для Linux загрожує інфраструктурі Docker

Останні новини