Share this article
Crypto confidentielle Dero ciblée par un nouveau logiciel malveillant auto-propagateur.
Le logiciel malveillant s'est propagé comme un ver informatique et a engendré des conteneurs malveillants après avoir infecté de nouveaux appareils.
May 28, 2025, 1:11 p.m.
Ce qu'il:
- Une nouvelle campagne de logiciels malveillants Linux cible les infrastructures Docker non sécurisées afin de créer un réseau de cryptojacking minant du Dero.
- L’attaque exploite les API Docker exposées sur le port 2375, utilisant des conteneurs malveillants pour miner des cryptomonnaies et se propager sans serveur central.
- Kaspersky rapporte que le malware utilise des implants basés sur Golang et crypte les données pour éviter la détection, indiquant une évolution des opérations de cryptojacking précédentes.
Une campagne de logiciels malveillants Linux récemment découverte compromet les infrastructures Docker non sécurisées dans le monde entier, transformant des serveurs exposés en partie d'un réseau décentralisé de cryptojacking qui exploite la cryptomonnaie axée sur la confidentialité Dero .
La Suite Ci-Dessous
Selon un rapport publié par la société de cybersécurité Kaspersky, l'attaque débute par l'exploitation d'API Docker exposées publiquement sur le port 2375. Une fois l'accès obtenu, le logiciel malveillant crée des conteneurs malveillants. Il infecte les conteneurs déjà en fonctionnement, siphonnant les ressources système pour miner du Dero et scanner d'autres cibles sans nécessiter de serveur de commande central.
En termes de logiciels, un docker est un ensemble d'applications ou d'outils et produits de plateforme qui utilise la virtualisation au niveau du système d'exploitation pour fournir des logiciels dans de petits paquets appelés conteneurs.
L'acteur malveillant derrière cette opération a déployé deux implants basés sur Golang : l'un nommé « nginx » (une tentative délibérée de se faire passer pour le logiciel serveur web légitime), et un autre appelé « cloud », qui est le logiciel de minage réel utilisé pour générer du Dero.
Une fois un hôte compromis, le module nginx scannait en continu Internet à la recherche de nouveaux nœuds Docker vulnérables, utilisant des outils comme Masscan pour identifier les cibles et déployer de nouveaux conteneurs infectés.
« Toute la campagne se comporte comme une épidémie de conteneurs zombies », ont écrit les chercheurs. « Un nœud infecté crée de manière autonome de nouveaux zombies pour miner du Dero et se propager davantage. Aucun contrôle externe n’est nécessaire — juste plus de points d’accès Docker mal configurés. »
Pour éviter la détection, il chiffre les données de configuration, y compris les adresses de portefeuille et les points d’accès du nœud Dero, et se dissimule sous des chemins généralement utilisés par des logiciels système légitimes.
Kaspersky a identifié le même portefeuille et l’infrastructure de nœuds utilisés dans des campagnes de cryptojacking antérieures ciblant des clusters Kubernetes en 2023 et 2024, indiquant une évolution d’une opération connue plutôt qu’une menace totalement nouvelle.
Dans ce cas, cependant, l'utilisation d'une logique de ver auto-propagateur et l’absence d’un serveur de commande central le rendent particulièrement résilient et plus difficile à éliminer.
Début mai, plus de 520 API Docker étaient exposées publiquement via le port 2375 dans le monde entier — chacune constituant une cible potentielle.
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Drift de Solana lance la version 3, avec des transactions 10 fois plus rapides
Avec la version 3, l'équipe indique qu'environ 85 % des ordres au marché seront exécutés en moins d'une demi-seconde, et que la liquidité s'approfondira suffisamment pour réduire le glissement sur les transactions importantes à environ 0,02 %.
What to know:
- Drift, l'une des plus grandes plateformes de trading de contrats perpétuels sur Solana, a lancé Drift v3, une mise à jour majeure visant à rendre le trading on-chain aussi rapide et fluide que celui d'une plateforme centralisée.
- La nouvelle version offrira une exécution des transactions 10 fois plus rapide grâce à une refonte complète du backend, marquant ainsi le plus grand saut de performance réalisé par le projet à ce jour.
À la une
