Tecnologie
Share this article

La criptovaluta privacy Dero è stata presa di mira da un nuovo malware autoriproduttivo.

Il malware si è propagato rapidamente come un verme e ha generato container dannosi dopo aver infettato nuovi dispositivi.

By Shaurya Malwa|Edited by Stephen Alpher
May 28, 2025, 1:11 p.m.
A hooded figure sits typing on a laptop in a darkened (Pixabay)

Cosa sapere:

  • Una nuova campagna di malware Linux mira alle infrastrutture Docker non protette per creare una rete di cryptojacking che estrae Dero.
  • L'attacco sfrutta le API Docker esposte sulla porta 2375, utilizzando container dannosi per minare criptovaluta e diffondersi senza un server centrale.
  • Kaspersky segnala che il malware utilizza implant basati su Golang e cripta i dati per evitare il rilevamento, indicando un'evoluzione delle precedenti operazioni di cryptojacking.

Una campagna di malware Linux appena scoperta sta compromettendo infrastrutture Docker non protette in tutto il mondo, trasformando server esposti in parte di una rete decentralizzata di cryptojacking che mina la moneta per la privacy Dero DERO$0.3828.

La storia continua sotto
Don't miss another story.Subscribe to the The Protocol Newsletter today. See all newsletters
By signing up, you will receive emails about CoinDesk products and you agree to our terms of use and privacy policy.

Secondo un rapporto della società di cybersecurity Kaspersky, l'attacco inizia sfruttando le API Docker pubblicamente esposte sulla porta 2375. Una volta ottenuto l'accesso, il malware genera container dannosi. Infetta quelli già in esecuzione, dirottando le risorse di sistema per minare Dero e cercare ulteriori bersagli senza richiedere un server di comando centrale.

In termini software, un docker è un insieme di applicazioni o strumenti e prodotti di piattaforma che utilizzano la virtualizzazione a livello di sistema operativo per fornire software in piccoli pacchetti chiamati container.

L'attore della minaccia dietro l'operazione ha distribuito due impianti basati su Golang: uno chiamato “nginx” (un tentativo deliberato di mascherarsi come il software legittimo del server web) e un altro chiamato “cloud”, che è il vero software di mining utilizzato per generare Dero.

Una volta compromesso un host, il modulo nginx scandagliava continuamente internet alla ricerca di altri nodi Docker vulnerabili, utilizzando strumenti come Masscan per identificare obiettivi e distribuire nuovi container infetti.

“L'intera campagna si comporta come un’epidemia di container zombie,” hanno scritto i ricercatori. “Un nodo infetto crea autonomamente nuovi zombie per minare Dero e propagarsi ulteriormente. Non è necessario alcun controllo esterno — solo altri endpoint Docker mal configurati.”

Per evitare il rilevamento, cifra i dati di configurazione, inclusi gli indirizzi dei wallet e gli endpoint dei nodi Dero, e si nasconde sotto percorsi tipicamente utilizzati da software di sistema legittimi.

Kaspersky ha identificato lo stesso wallet e infrastruttura di nodi usati in campagne di cryptojacking precedenti che hanno preso di mira cluster Kubernetes nel 2023 e 2024, indicando un’evoluzione di un’operazione nota piuttosto che una minaccia completamente nuova.

In questo caso, tuttavia, l’uso della logica di worm auto-propagante e l’assenza di un server di comando centrale lo rendono particolarmente resiliente e più difficile da spegnere.

Alla prima settimana di maggio, oltre 520 API Docker erano pubblicamente esposte sulla porta 2375 in tutto il mondo — ognuna rappresenta un bersaglio potenziale.

More For You

Protocol Research: GoPlus Security

By CoinDesk Research
Nov 14, 2025
Commissioned byGoPlus
GP Basic Image

What to know:

  • As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
  • GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
  • Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
View Full Report

More For You

ZKsync Lite to Shut Down in 2026 as Matter Labs Moves On

By Margaux Nijkerk, AI Boost|Edited by Jamie Crawley
52 minutes ago
Sunset in San Salvador. Credit: Ricky Mejia, Unsplash

The company framed the move, happening in early 2026, as a planned sunset.

What to know:

  • Matter Labs plans to deprecate ZKsync Lite, the first iteration of its Ethereum layer-2 network, the team said in a post on X over the weekend.
  • The company framed the move, happening in early 2026, as a planned sunset for an early proof-of-concept that helped validate their zero-knowledge rollup design choices before newer systems went live.
Read full story