Image by Henrik L., from Unsplash
El Malware Autoreplicante Zombie se Enfoca en Docker
Tiempo de lectura: 3 min.
Actualizado por última vez: May 28, 2025
-
![Kiara Fabbri]()
-
![El equipo de localización y traducción]()
Traducido por El equipo de localización y traducción Servicios de localización y traducción
Los contenedores Docker no asegurados son secuestrados por malware que se propaga de manera autónoma, creando una red zombi que mina la criptomoneda centrada en la privacidad Dero.
¿Con prisa? Aquí tienes los datos rápidos:
- El malware se propaga de manera autónoma sin un servidor de comando y control, complicando la defensa.
- Dos implantes de Golang: falsa herramienta nginx y minero oculto de Dero cloud.
- El malware secuestra contenedores existentes y crea nuevos contenedores maliciosos automáticamente.
Una nueva campaña de cryptojacking está convirtiendo los contenedores Docker no seguros en una red de zombies de rápida propagación que mina la criptomoneda centrada en la privacidad, Dero. El malware se propaga por sí solo, sin un servidor de comando y control, lo que lo hace más difícil de detener.
Investigadores de Kaspersky descubrieron la infección durante una evaluación de seguridad rutinaria. “Detectamos un número de contenedores en ejecución con actividades maliciosas”, dijeron.
El ataque comienza cuando se encuentran en línea APIs de Docker expuestas. Una vez que una se ve vulnerada, el malware crea nuevos contenedores maliciosos y secuestra los existentes, transformándolos en “zombies” que minan Dero e infectan a otros.
El ataque utiliza dos implantes de malware basados en Golang, ambos ocultos con empaquetado UPX: uno se llama nginx (no debe confundirse con el servidor web legítimo), y el otro es el minero Dero en la nube. Kaspersky los identificó como Trojan.Linux.Agent.gen y RiskTool.Linux.Miner.gen.
El malware nginx finge ser una herramienta web legítima y mantiene funcionando al minero mientras escanea constantemente internet en busca de nuevos objetivos. Busca APIs de Docker abiertas en el puerto 2375 y utiliza herramientas como masscan para detectarlas. Una vez que encuentra un sistema vulnerable, despliega un contenedor falso de Ubuntu e instala el malware.
También intenta tomar el control de los contenedores existentes mediante la verificación de un archivo especial, version.dat. Si el archivo falta, instala el malware y comienza a minar.
El minero en la nube oculta sus direcciones de billetera y servidor utilizando cadenas de texto cifradas. Una vez descifradas, los investigadores las rastrearon hasta ataques pasados en los clusters de Kubernetes.
“Este implante está diseñado para minimizar la interacción con el operador”, dice el informe, advirtiendo que campañas similares aún pueden estar activas.
Los expertos en seguridad advierten que mientras las API de Docker estén expuestas en línea sin protección, dichas campañas de criptojacking continuarán. Los usuarios deben asegurar sus entornos Docker desactivando las API abiertas y reforzando los controles de acceso a la red.
Artículo anterior
Artículos más recientes 
