PANews는 5월 29일, CoinDesk에 따르면 사이버 보안 회사인 카스퍼스키가 새로운 유형의 리눅스 맬웨어가 보호되지 않은 Docker 인프라를 공격하고 있다는 사실을 발견했다고 보도했습니다. 맬웨어는 노출된 Docker API 포트 2375를 사용하여 악성 컨테이너를 만들고, 분산형 크립토재킹 네트워크를 형성하여 프라이버시 코인인 Dero를 채굴합니다. 이 맬웨어는 두 가지 Golang 임플란트를 사용합니다. 취약한 대상을 스캔하는 "nginx"와 실제 마이닝을 위한 "cloud"입니다.

연구원들은 이 맬웨어가 자체적으로 전파되는 웜 로직을 사용하고, 중앙 명령 서버가 필요하지 않으며, 구성 데이터를 암호화하여 자신을 숨긴다고 지적했습니다. 5월 초 현재, 전 세계적으로 포트 2375를 통해 공개적으로 노출된 Docker API는 520개가 넘습니다. 이 공격은 2023~2024년에 쿠버네티스 클러스터를 표적으로 삼은 크립토재킹 캠페인과 동일한 지갑과 노드 인프라를 사용했으며, 이는 알려진 위협의 업그레이드 버전임을 나타냅니다.