TechFlowの報道によると、5月29日、Coindeskが伝えたところによれば、新たなLinuxマルウェアが世界中で保護されていないDockerインフラを攻撃しており、公開されたサーバーをプライバシーコインDeroのマイニングのための分散ネットワークに変換している。このマルウェアはポート2375を通じて公開されたDocker APIを攻撃し、Golangベースの2つのインプラントを展開する。1つは正当なWebサーバーソフトウェア「nginx」を装っており、もう1つは「cloud」という名前のマイニング用プログラムである。
感染したノードはインターネット上で新たな標的を自らスキャンし、感染したコンテナを展開するため、中央管理サーバーを必要としない。5月初め時点で、ポート2375経由で世界中で520以上のDocker APIが公開状態にあり、いずれも攻撃対象となっている。調査により、この攻撃で使用されているウォレットおよびノードインフラは、2023年および2024年にKubernetesクラスターを標的にした攻撃と同一であることが明らかになっている。




