TechFlow, 29 mai - Selon un rapport de Coindesk, un nouveau logiciel malveillant Linux attaque à l'échelle mondiale des infrastructures Docker non protégées, transformant les serveurs exposés en nœuds du réseau décentralisé du crypto-monnaie minière Dero. Ce logiciel malveillant exploite l'API Docker exposée via le port 2375 pour déployer deux implants basés sur Golang : l'un se faisant passer pour un logiciel légitime de serveur web « nginx », l'autre, nommé « cloud », étant dédié à l'extraction minière.
Les nœuds infectés analysent autonomément Internet à la recherche de nouvelles cibles et déploient des conteneurs compromis, sans nécessiter de serveur de contrôle central. Début mai, plus de 520 API Docker dans le monde étaient exposées publiquement via le port 2375, constituant autant de cibles potentielles. Les recherches indiquent que les infrastructures de portefeuille et de nœuds utilisées dans cette attaque sont identiques à celles employées lors des campagnes offensives contre des clusters Kubernetes en 2023 et 2024.




