New Linux Malware Threatens Docker Infrastructure

Binance News · 2025-05-28T13:23:45.000Z

According to Foresight News, a report by cybersecurity firm Kaspersky has revealed a new Linux malware activity targeting insecure Docker infrastructures. This threat is turning exposed servers into part of a decentralized cryptojacking network mining the privacy coin Dero. The attack exploits the publicly accessible Docker API on port 2375. Once access is gained, the malware generates malicious containers, infecting running containers to steal system resources for mining Dero. It also scans for other targets without needing a central command server. Docker, from a software perspective, is a set of applications or platform tools and products that use operating system-level virtualization to deliver software in small packages known as containers. The threat actors behind this operation have deployed two Golang-based implants: one named "nginx," which is deliberately disguised as legitimate web server software, and another called "cloud," which is the actual mining software for generating Dero. Once a host is compromised, the nginx module continuously scans the internet for more vulnerable Docker nodes, using tools like Masscan to identify targets and deploy new infected containers. To evade detection, the malware encrypts configuration data, including wallet addresses and Dero node endpoints, and hides itself in paths typically used by legitimate system software. Kaspersky found that the wallet and node infrastructure used in earlier cryptojacking activities targeting Kubernetes clusters in 2023 and 2024 are the same, indicating an evolution of a known operation rather than a completely new threat.

Theo Foresight News, một báo cáo của công ty an ninh mạng Kaspersky đã tiết lộ một hoạt động malware Linux mới nhắm vào các hạ tầng Docker không an toàn. Mối đe dọa này đang biến các máy chủ bị lộ thành một phần của mạng khai thác tiền điện tử phi tập trung khai thác đồng tiền riêng tư Dero.
Cuộc tấn công khai thác API Docker công khai có sẵn trên cổng 2375. Khi có quyền truy cập, phần mềm độc hại tạo ra các container độc hại, lây nhiễm các container đang chạy để đánh cắp tài nguyên hệ thống cho việc khai thác Dero. Nó cũng quét tìm các mục tiêu khác mà không cần một máy chủ điều khiển trung tâm. Docker, từ góc độ phần mềm, là một tập hợp các ứng dụng hoặc công cụ và sản phẩm nền tảng sử dụng ảo hóa cấp hệ điều hành để cung cấp phần mềm trong các gói nhỏ được gọi là container.
Các tác nhân đe dọa đứng sau hoạt động này đã triển khai hai phần mềm độc hại dựa trên Golang: một cái tên là "nginx," được ngụy trang một cách cố ý như phần mềm máy chủ web hợp pháp, và cái khác gọi là "cloud," là phần mềm khai thác thực sự để tạo ra Dero. Khi một máy chủ bị xâm nhập, module nginx liên tục quét internet để tìm thêm các nút Docker dễ bị tổn thương, sử dụng các công cụ như Masscan để xác định mục tiêu và triển khai các container bị nhiễm mới.
Để tránh bị phát hiện, phần mềm độc hại mã hóa dữ liệu cấu hình, bao gồm địa chỉ ví và các điểm cuối nút Dero, và ẩn mình trong các đường dẫn thường được sử dụng bởi phần mềm hệ thống hợp pháp. Kaspersky phát hiện rằng cơ sở hạ tầng ví và nút được sử dụng trong các hoạt động khai thác tiền điện tử trước đó nhắm vào các cụm Kubernetes trong năm 2023 và 2024 là giống nhau, cho thấy sự tiến hóa của một hoạt động đã biết thay vì một mối đe dọa hoàn toàn mới.

Mối đe dọa phần mềm độc hại Linux mới đối với hạ tầng Docker

Tin tức mới nhất

Mối đe dọa phần mềm độc hại Linux mới đối với hạ tầng Docker

Tin tức mới nhất

Bài viết thịnh hành