Docker API kriptovaluta bányásztra
A Kaspersky által azonosított új kriptobányász kampány a Dero nevű, adatvédelmet előtérbe helyező kriptovaluta bányászatára irányul, kihasználva a nyilvánosan elérhető Docker API-k sebezhetőségeit. A támadás során a fenyegetés szereplői két, Go nyelven írt és UPX-szel tömörített rosszindulatú programot használnak: az egyik az nginx malware, a másik pedig a cloud miner.
A nginx malware célja a fertőzés terjesztése és a bányászprogram folyamatos futtatásának biztosítása. A program azonosítja a nyilvánosan elérhető, 2375-ös porton működő Docker API-kat, majd új, rosszindulatú konténereket hoz létre vagy meglévőket fertőz meg. A fertőzött konténerekben a malware telepíti a szükséges eszközöket, például a masscan-t a további célpontok felderítésére, és biztosítja a cloud bányászprogram futtatását. A fertőzés terjedése önállóan, C2 nélkül történik, ami megnehezíti a detektálást és a megszüntetést.
A cloud bányászprogram az open-source DeroHE CLI miner módosított változata, amely előre konfigurált, AES-CTR-rel titkosított wallet címet és Dero node címeket tartalmaz. A konfiguráció dekódolása után a program automatikusan megkezdi a bányászatot a megadott címekre. A malware a rendszeres fájlstruktúrákba, például a /usr/bin/ könyvtárba helyezi el magát, és a /root/.bash_aliases fájl módosításával biztosítja a folyamatos jelenlét fenntartását.
A kampány során a támadók nemcsak új konténereket hoznak létre, hanem meglévő, például Ubuntu 18.04 alapú konténereket is megfertőznek, amennyiben azok nem tartalmazzák a version.dat fájlt, amely a fertőzés indikátoraként szolgál. A malware folyamatosan figyeli a cloud folyamat futását, és újraindítja azt, ha leállna.
A kampány globális kiterjedésű, és különösen azokat a rendszereket veszélyezteti, amelyek nyilvánosan elérhető Docker API-val rendelkeznek. A Shodan adatai szerint 2025 áprilisában világszerte 520 ilyen nyitott Docker API-t azonosítottak, ami jelentős támadási felületet jelent.
A védekezés érdekében javasolt a Docker API hozzáférésének korlátozása, a hozzáférési szabályok szigorítása, valamint a konténeres környezetek folyamatos monitorozása és a biztonsági frissítések rendszeres alkalmazása.
