Share this article
Criptomoneda de Privacidad Dero es Objetivo de Nuevo Malware Auto-Replicante
El malware se propagó como un gusano y generó contenedores maliciosos tras infectar dispositivos nuevos.
May 28, 2025, 1:11 p.m.
Lo que debes saber:
- Una nueva campaña de malware Linux está dirigida a infraestructuras Docker no aseguradas para crear una red de cryptojacking que mina Dero.
- El ataque explota APIs Docker expuestas en el puerto 2375, utilizando contenedores maliciosos para minar criptomonedas y propagarse sin un servidor central.
- Kaspersky informa que el malware utiliza implantes basados en Golang y encripta datos para evitar la detección, lo que indica una evolución de operaciones previas de cryptojacking.
Una campaña de malware en Linux recién descubierta está comprometiendo la infraestructura Docker no segura en todo el mundo, convirtiendo servidores expuestos en parte de una red descentralizada de cryptojacking que mina la moneda de privacidad Dero .
CONTINÚA MÁS ABAJO
Según un informe de la firma de ciberseguridad Kaspersky, el ataque comienza explotando las APIs públicas expuestas de Docker a través del puerto 2375. Una vez que se obtiene acceso, el malware genera contenedores maliciosos. Infecta los que ya están en ejecución, desviando recursos del sistema para minar Dero y buscar objetivos adicionales sin requerir un servidor de comando central.
En términos de software, un docker es un conjunto de aplicaciones o herramientas y productos de plataforma que utilizan virtualización a nivel de sistema operativo para entregar software en pequeños paquetes llamados contenedores.
El actor de amenaza detrás de la operación desplegó dos implantes basados en Golang: uno llamado “nginx” (un intento deliberado de hacerse pasar por el software legítimo de servidor web), y otro llamado “cloud,” que es el software real de minería utilizado para generar Dero.
Una vez que un host fue comprometido, el módulo nginx escaneaba continuamente Internet en busca de más nodos Docker vulnerables, utilizando herramientas como Masscan para identificar objetivos y desplegar nuevos contenedores infectados.
“Toda la campaña se comporta como un brote de contenedores zombis,” escribieron los investigadores. “Un nodo infectado crea autónomamente nuevos zombis para minar Dero y expandirse aún más. No se necesita control externo — solo más puntos finales Docker mal configurados.”
Para evitar la detección, cifra los datos de configuración, incluyendo direcciones de billeteras y puntos finales de nodos Dero, y se oculta bajo rutas normalmente usadas por software legítimo del sistema.
Kaspersky identificó la misma billetera e infraestructura de nodos usada en campañas anteriores de cryptojacking que atacaron clústeres de Kubernetes en 2023 y 2024, lo que indica una evolución de una operación conocida en lugar de una amenaza completamente nueva.
En este caso, sin embargo, el uso de lógica de gusano autoextensible y la ausencia de un servidor de comando central lo hacen especialmente resistente y más difícil de desactivar.
A principios de mayo, más de 520 APIs Docker estaban expuestas públicamente a través del puerto 2375 en todo el mundo — cada una un objetivo potencial.
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
El Protocolo: La Testnet Tempo de Stripe Entra en Funcionamiento
También: ZKSync Lite se retirará, actualización de la aplicación Blockstream, AgentFlux de Axelar
What to know:
Este artículo aparece en la última edición de El Protocolo, nuestro boletín semanal que explora la tecnología detrás de las criptomonedas, un bloque a la vez. Regístrese aquí para recibirlo en su bandeja de entrada todos los miércoles.
