نمونههای Docker API با پیکربندی نادرست، هدف کمپین بدافزار جدید nginx قرار گرفتهاند که آنها را به باتنت استخراج رمز ارز تبدیل میکند.
این حملات که جهت استخراج ارز Dero طراحی شدهاند، به دلیل قابلیتهای کرممانند خود برای انتشار بدافزار به سایر نمونههای Docker API در معرض خطر و اتصال آنها به انبوهی از رباتهای استخراج، قابل توجه هستند. Kaspersky اعلام کرد که عامل تهدید ناشناسی را مشاهده کرده است که با سوءاستفاده از یک API Docker که به طور ناامن منتشر شده است، دسترسی اولیه به یک زیرساخت کانتینری در حال اجرا را به دست آورده و سپس از آن دسترسی برای ایجاد شبکه غیرقانونی سرقت رمز ارز استفاده میکند. این امر منجر به نفوذ به کانتینرهای در حال اجرا و ایجاد کانتینرهای جدید شد که نه تنها منابع قربانی را برای استخراج رمز ارزها به کار گرفتند، بلکه به منظور انتشار در شبکههای دیگر حملات بیرونی را نیز راهاندازی میکنند. زنجیره حمله از طریق دو مؤلفه تحقق مییابد: انتشار بدافزار خودگستر “nginx” که اینترنت را برای یافتن Docker APIهای افشا شده اسکن میکند و ماینر رمز ارز Dero به نام “cloud” هر دو پیلود با استفاده از Golang توسعه داده شدهاند. استفاده از “nginx” تلاشی عامدانه برای جا زدن خود به عنوان وبسرور قانونی nginx و پنهان ماندن از دید ابزارهای نظارتی است.
https://securelist.com/dero-miner-infects-containers-through-docker-api/116546/
https://thehackernews.com/2025/05/new-self-spreading-malware-infects.html
