ChainCatcher cho biết, theo báo cáo của Coindesk, một loại phần mềm độc hại Linux mới đang tấn công cơ sở hạ tầng Docker không được bảo vệ trên toàn cầu, biến các máy chủ bị phơi nhiễm thành một mạng lưới phi tập trung để khai thác đồng tiền riêng tư Dero. Phần mềm độc hại này tấn công các Docker API bị phơi nhiễm thông qua cổng 2375, triển khai hai chương trình cài đặt dựa trên Golang, một chương trình giả mạo là phần mềm máy chủ web nginx hợp pháp, và một chương trình có tên là cloud được sử dụng để khai thác. Các nút bị nhiễm sẽ tự động quét internet để tìm các mục tiêu mới và triển khai các container bị nhiễm, không cần máy chủ điều khiển trung ương.
Tính đến đầu tháng 5, hơn 520 Docker API đã được công khai thông qua cổng 2375, đều là các mục tiêu tấn công tiềm ẩn. Nghiên cứu cho thấy, cơ sở hạ tầng ví và nút được sử dụng trong cuộc tấn công này giống với các cuộc tấn công vào các cụm Kubernetes trong năm 2023 và 2024.
