随着网络安全威胁的日益加剧，最近一项来自 Kaspersky 的报告揭示了一场复杂的网络攻击活动，专门针对 公开暴露的Docker API，以在全球范围内开发 Dero 加密货币的挖矿网络。这一攻击利用不安全的Docker基础设施，通过容器化环境释放出新型 Linux 恶意软件，转变为去中心化的 加密劫持 网络，吸引了业界的广泛关注。

根据 Kaspersky 的报告，该恶意软件在感染 Docker 容器后，能够自我繁殖并扩展到其他安全防护薄弱的设备。具体而言，攻击者通过 暴露在2375端口上的Docker API 获得访问权限，并创建恶意容器。这些恶意容器利用系统资源来挖矿Dero，并在没有传统的 指挥控制（C2） 服务器的情况下，对互联网进行扫描，寻找更多的目标。根据2025年的安全研究，全球范围内每月大约有485个Docker API因安全防护不足而被公开，形成潜在的攻击目标。

这场网络攻击由两个基于 Golang 的恶意软件组件驱动，其中一个名为“nginx”，旨在伪装成合法的Web服务器软件，而另一个名为“cloud”，则是用于生成Dero的挖矿软件。感染后的主机利用nginx模块不断扫描互联网，寻找更多的脆弱Docker节点，并使用工具如 Masscan 来识别并部署新的恶意容器。这种行为使该网络攻击呈现出 僵尸容器 的特征，每个被感染的节点自主创建新的“僵尸”来进一步挖矿和传播，无需外部控制。

Kaspersky 的研究人员提到：“这一系列活动表现出像是僵尸容器的爆发，一旦其中一个节点被感染，就会自动创建新的感染源，启动挖矿操作并扩散。不再需要外部控制，只需要更多的误配置Docker端点。”为了规避检测，该恶意软件加密了配置信息，包括钱包地址和Dero节点端点，同时隐藏在通常由合法系统软件使用的路径中。

Kaspersky 指出，该攻击与2023年和2024年针对 Kubernetes集群 的早期加密网络攻击存在相似性，显示出这是一个已知操作的演化，而非全新威胁。这种自我传播的蠕虫逻辑以及缺乏中心化控制的特性，使得攻击显得尤为具有弹性与难以关闭。截止到2025年5月，全球已确认有520多个Docker API在2375端口上被公开，每一个都成为了潜在的攻击目标。

这个攻击活动不仅限于Dero，还揭示出在容器化环境和Docker API开放使用上，广泛存在的安全漏洞。随着越来越多的组织和企业依赖于这些技术进行应用程序的开发与部署，各类网络攻击的可能性不断增加。

Kaspersky 的网络安全专家表示，任何未能及时更新安全策略的组织，都可能面临在容器化基础设施上被攻击的风险。这其中包括但不限于 科技公司、软件开发公司、云服务提供商 等等。专家呼吁，应尽快审查相关安全措施，以避免类似事件的再次发生。

他们建议，对于使用Docker API的公司，应立即审查潜在暴露的基础设施安全，尤其应考虑通过 TLS 加密保护暴露的Docker API。此外，利用 Kaspersky的妥协评估工具，能够帮助发现正在进行的网络攻击及先前未被检测的攻击。

总而言之，此次Dero加密货币挖矿恶意软件的传播活动透露出容器化环境安全维护的重要性，企业需要采取全方位的安全防护措施，以应对潜在的网络攻击与风险。通过加强自身防护机制并保持知识更新，组织能够更有效地预防和应对未来可能的网络安全挑战。

随着这一领域的持续关注，网络安全的意识和行动显得尤为急迫。通过结合强大的安全解决方案和积极的威胁猎捕，企业不仅可以发现新隐患，还能及时进行修复和缓解，从而保障自身及客户的信息安全。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课