Криптовалюта с повышенной конфиденциальностью Dero стала объектом новой самораспространяющейся вредоносной программы.

Вредоносное ПО распространялось подобно червю и создавалось с помощью вредоносных контейнеров после заражения новых устройств.

A hooded figure sits typing on a laptop in a darkened (Pixabay)
Summary
  • Новая кампания вредоносного ПО для Linux нацелена на незащищённую инфраструктуру Docker с целью создания сети криптомайнинга Dero.
  • Атака использует открытые Docker API на порту 2375, используя вредоносные контейнеры для майнинга криптовалюты и распространения без центрального сервера.
  • Компания Kaspersky сообщает, что вредоносное ПО использует импланты на базе Golang и шифрует данные для избежания обнаружения, что указывает на эволюцию предыдущих операций криптомайнинга.

Недавно обнаруженная кампания вредоносного ПО Linux компрометирует незащищённую инфраструктуру Docker по всему миру, превращая открытые серверы в часть децентрализованной сети криптомайнинга, которая добывает приватную монету Dero {{DERO}}.

Согласно отчёту компании по кибербезопасности Kaspersky, атака начинается с эксплуатации публично открытых Docker API по порту 2375. После получения доступа вредоносное ПО создает вредоносные контейнеры. Оно заражает уже работающие контейнеры, присваивая системные ресурсы для майнинга Dero и поиска дополнительных целей без необходимости в центральном сервере управления.

В терминах программного обеспечения docker — это набор приложений или инструментов платформы, использующих виртуализацию на уровне ОС для доставки программного обеспечения в маленьких пакетах, называемых контейнерами.

Атакующая сторона использовала два импланта, написанных на Golang: один под названием «nginx» (умышленная попытка замаскироваться под легитимное веб-серверное ПО), и другой под названием «cloud», который является фактическим майнинговым ПО, используемым для генерации Dero.

После компрометации хоста модуль nginx непрерывно сканировал интернет в поисках новых уязвимых Docker-узлов, используя инструменты вроде Masscan для выявления целей и развертывания новых заражённых контейнеров.

«Вся кампания ведёт себя подобно вспышке зомби-контейнеров», — написали исследователи. «Один заражённый узел автономно создает новых зомби для майнинга Dero и дальнейшего распространения. Внешнее управление не требуется — только больше неправильно сконфигурированных Docker-точек.»

Чтобы избежать обнаружения, оно шифрует конфигурационные данные, включая адреса кошельков и конечные точки узлов Dero, а также скрывается в путях, обычно используемых легитимным системным ПО.

Kaspersky обнаружила тот же кошелек и инфраструктуру узлов, которые использовались в более ранних кампаниях криптомайнинга, нацеленных на кластеры Kubernetes в 2023 и 2024 годах, что указывает на эволюцию известной операции, а не на совершенно новую угрозу.

В данном случае, однако, использование логики самораспространяющегося червя и отсутствие центрального сервера управления делают угрозу особенно устойчивой и сложной для нейтрализации.

По состоянию на начало мая, более 520 Docker API были публично открыты по порту 2375 по всему миру — каждая из них является потенциальной целью.

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6
  7. 7
  8. 8
  9. 9
  10. 10
ER June 2026 Image

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.

Почему это важно:

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.