TechFlow 소식에 따르면, 5월 29일 코인데스크 보도를 통해 전 세계적으로 보호되지 않은 도커 인프라를 공격해 서버를 프라이버시 코인 Dero를 마이닝하는 분산형 네트워크로 변환시키는 새로운 리눅스 악성코드가 발견되었다. 이 악성코드는 포트 2375를 통해 노출된 도커 API를 공격하여 두 개의 Golang 기반 임플란트를 배포하는데, 하나는 정상적인 웹 서버 소프트웨어인 "nginx"로 위장하고, 다른 하나는 "cloud"라는 이름의 마이닝 프로그램이다.
감염된 노드는 중앙 제어 서버 없이 자동으로 인터넷을 스캔하여 새로운 대상을 찾아 감염된 컨테이너를 배포한다. 5월 초 기준 전 세계적으로 포트 2375를 통해 공개 노출된 도커 API가 520개 이상 존재하며, 모두 잠재적 공격 대상이다. 연구 결과에 따르면 이 공격에 사용된 지갑과 노드 인프라는 2023년 및 2024년 쿠버네티스 클러스터를 대상으로 한 공격과 동일한 것으로 나타났다.




