Share this article
Приватну криптовалюту Dero було атаковано новим саморозповсюджуваним шкідливим програмним забезпеченням.
Шкідливе програмне забезпечення поширювалося як хробак і створювало зловмисні контейнери після зараження нових пристроїв.
May 28, 2025, 1:11 p.m.
Що варто знати:
- Нова кампанія шкідливого ПЗ для Linux націлена на незахищену інфраструктуру Docker з метою створення мережі криптомайнерів, яка добуває Dero.
- Атака використовує відкриті Docker API на порті 2375, застосовуючи шкідливі контейнери для майнінгу криптовалюти та розповсюдження без центрального сервера.
- Kaspersky повідомляє, що шкідливе ПЗ використовує імпланти на базі Golang і шифрує дані для уникнення виявлення, що свідчить про еволюцію попередніх операцій криптоджекінгу.
Нещодавно виявлена кампанія Linux-шкідливого ПЗ скомпрометувала незахищену Docker-інфраструктуру у всьому світі, перетворюючи відкриті сервери на частину децентралізованої мережі криптомайнінгу, яка добуває криптовалюту конфіденційності Dero .
Продовження Нижче
За інформацією звіту кібербезпекової компанії Kaspersky, атака починається з використання публічно відкритих Docker API через порт 2375. Отримавши доступ, шкідливе ПЗ створює шкідливі контейнери. Воно інфікує вже запущені контейнери, витягуючи системні ресурси для майнінгу Dero та скануючи додаткові цілі без потреби у центральному сервері управління.
З програмного забезпечення docker — це набір додатків або платформних інструментів і продуктів, які використовують віртуалізацію на рівні операційної системи для доставки програмного забезпечення у вигляді невеликих пакетів, що називаються контейнерами.
Зловмисник, який стоїть за операцією, розгорнув два імпланти на базі Golang: один з назвою “nginx” (усвідомлена спроба замаскуватися під легітимне програмне забезпечення веб-сервера), та інший під назвою “cloud,” який є фактичним майнінговим ПЗ, що використовується для генерації Dero.
Після компрометації хоста, модуль nginx безперервно сканував інтернет на предмет інших вразливих Docker-вузлів, використовуючи інструменти на кшталт Masscan для ідентифікації цілей та розгортання нових інфікованих контейнерів.
“Вся кампанія поводиться як спалах зомбі-контейнерів,” — пишуть дослідники. “Один інфікований вузол автономно створює нових зомбі для майнінгу Dero та подальшого поширення. Не потрібен зовнішній контроль — лише більше неправильно налаштованих Docker-ендпоїнтів.”
Щоб уникнути виявлення, воно шифрує конфігураційні дані, включно з адресами гаманців і ендпоїнтами вузлів Dero, і ховається у шляхах, які зазвичай використовуються легітимним системним програмним забезпеченням.
Kaspersky ідентифікувала ті самі адреси гаманців і інфраструктуру вузлів, які використовувалися у ранніх кампаніях криптомайнінгу, що націлювалися на Kubernetes-кластери у 2023 та 2024 роках, що вказує на розвиток відомої операції, а не на принципово нову загрозу.
У цьому випадку, однак, використання логіки саморозповсюджуваного хробака та відсутність центрального сервера управління роблять атаку особливо стійкою і складнішою для ліквідації.
Станом на початок травня понад 520 Docker API були публічно відкриті через порт 2375 у всьому світі — кожен з них є потенційною ціллю.
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Solana’s Drift запускає версію v3 з торгівлею у 10 разів швидшою
За версією v3, команда стверджує, що приблизно 85% ринкових ордерів буде виконано менше ніж за півсекунди, а ліквідність поглибиться настільки, що проскальзування на більших угодах знизиться приблизно до 0,02%.
What to know:
- Drift, одна з найбільших платформ для торгівлі perpetuals на Solana, запустила Drift v3 — важливе оновлення, яке має зробити торгівлю на блокчейн такою ж швидкою та плавною, як і використання централізованої біржі.
- Нова версія забезпечить у 10 разів швидше виконання угод завдяки переробленій бекенд-частині, що є найбільшим стрибком у продуктивності, якого проект досяг досі.
Головне
