深潮 TechFlow のニュースによると、5 月 29 日に Coindesk が報告したところによると、新しいタイプの Linux マルウェアが世界中で保護されていない Docker インフラストラクチャを攻撃し、露出したサーバーをマイニングプライバシー通貨 Dero の分散化ネットワークに変換しています。このマルウェアはポート 2375 を介して露出した Docker API を攻撃し、Golang に基づく 2 つのインジェクションプログラムをデプロイします。1 つは合法的なネットワークサーバーソフトウェア “nginx” に偽装し、もう 1 つは “cloud” という名前のプログラムでマイニングを行います。
感染後のノードは、自主的にインターネットをスキャンして新しいターゲットを探し、感染したコンテナを展開します。中央制御サーバーは不要です。5月初めの時点で、世界中で520以上のDocker APIがポート2375を介して公開されており、すべてが潜在的な攻撃対象です。研究によると、この攻撃で使用されているウォレットとノードのインフラは、2023年と2024年のKubernetesクラスターに対する攻撃と同じです。
