Поделиться этой статьей
Криптовалюта с повышенной конфиденциальностью Dero стала объектом новой самораспространяющейся вредоносной программы.
Вредоносное ПО распространялось подобно червю и создавалось с помощью вредоносных контейнеров после заражения новых устройств.
28 мая 2025 г., 1:11 p.m. Переведено ИИ
Что нужно знать:
- Новая кампания вредоносного ПО для Linux нацелена на незащищённую инфраструктуру Docker с целью создания сети криптомайнинга Dero.
- Атака использует открытые Docker API на порту 2375, используя вредоносные контейнеры для майнинга криптовалюты и распространения без центрального сервера.
- Компания Kaspersky сообщает, что вредоносное ПО использует импланты на базе Golang и шифрует данные для избежания обнаружения, что указывает на эволюцию предыдущих операций криптомайнинга.
Недавно обнаруженная кампания вредоносного ПО Linux компрометирует незащищённую инфраструктуру Docker по всему миру, превращая открытые серверы в часть децентрализованной сети криптомайнинга, которая добывает приватную монету Dero .
Продолжение Читайте Ниже
Согласно отчёту компании по кибербезопасности Kaspersky, атака начинается с эксплуатации публично открытых Docker API по порту 2375. После получения доступа вредоносное ПО создает вредоносные контейнеры. Оно заражает уже работающие контейнеры, присваивая системные ресурсы для майнинга Dero и поиска дополнительных целей без необходимости в центральном сервере управления.
В терминах программного обеспечения docker — это набор приложений или инструментов платформы, использующих виртуализацию на уровне ОС для доставки программного обеспечения в маленьких пакетах, называемых контейнерами.
Атакующая сторона использовала два импланта, написанных на Golang: один под названием «nginx» (умышленная попытка замаскироваться под легитимное веб-серверное ПО), и другой под названием «cloud», который является фактическим майнинговым ПО, используемым для генерации Dero.
После компрометации хоста модуль nginx непрерывно сканировал интернет в поисках новых уязвимых Docker-узлов, используя инструменты вроде Masscan для выявления целей и развертывания новых заражённых контейнеров.
«Вся кампания ведёт себя подобно вспышке зомби-контейнеров», — написали исследователи. «Один заражённый узел автономно создает новых зомби для майнинга Dero и дальнейшего распространения. Внешнее управление не требуется — только больше неправильно сконфигурированных Docker-точек.»
Чтобы избежать обнаружения, оно шифрует конфигурационные данные, включая адреса кошельков и конечные точки узлов Dero, а также скрывается в путях, обычно используемых легитимным системным ПО.
Kaspersky обнаружила тот же кошелек и инфраструктуру узлов, которые использовались в более ранних кампаниях криптомайнинга, нацеленных на кластеры Kubernetes в 2023 и 2024 годах, что указывает на эволюцию известной операции, а не на совершенно новую угрозу.
В данном случае, однако, использование логики самораспространяющегося червя и отсутствие центрального сервера управления делают угрозу особенно устойчивой и сложной для нейтрализации.
По состоянию на начало мая, более 520 Docker API были публично открыты по порту 2375 по всему миру — каждая из них является потенциальной целью.
Больше для вас
Что нужно знать:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Больше для вас
Solana’s Drift запускает версию v3 с торговлей в 10 раз быстрее
По словам команды, с версией v3 около 85% рыночных ордеров будут исполняться менее чем за полсекунды, а ликвидность станет достаточно глубокой, чтобы снизить проскальзывание при крупных сделках до примерно 0,02%.
Что нужно знать:
- Drift, одна из крупнейших платформ для торговли вечными контрактами на Solana, запустила Drift v3 — значительное обновление, призванное сделать торговлю в блокчейне такой же быстрой и плавной, как и использование централизованной биржи.
- Новая версия обеспечит выполнение сделок в 10 раз быстрее благодаря полностью переработанному бэкенду, что станет самым значительным улучшением производительности проекта на сегодняшний день.
Главное
