“عملاق الخصوصية Dero يتعرض لهجوم ببرمجية خبيثة ذاتية الانتشار – اكتشف التفاصيل الآن!”

سيد الأسهم29 مايو، 2025آخر تحديث: 29 مايو، 2025

دقيقة واحدة

"عملاق الخصوصية Dero يتعرض لهجوم ببرمجية خبيثة ذاتية الانتشار – اكتشف التفاصيل الآن!"

كشف تقرير حديث عن حملة برمجيات خبيثة جديدة تعمل على نظام لينكس تستهدف البنية التحتية غير المؤمنة لـ Docker حول العالم، وتحول الخوادم المكشوفة إلى جزء من شبكة لا مركزية لتعدين العملات الرقمية، وتحديداً عملة Dero التي تركز على الخصوصية.

محتويات المقالة

كيف تعمل الهجمات؟

وفقاً لشركة الأمن السيبراني كاسبرسكي، تبدأ الهجمات باستغلال واجهات برمجة تطبيقات Docker المكشوفة عبر المنفذ 2375. بمجرد الحصول على الوصول، تقوم البرمجيات الخبيثة بإنشاء حاويات ضارة أو اختراق الحاويات العاملة بالفعل لسرقة موارد النظام لتعدين Dero ومسح الشبكة بحثاً عن أهداف جديدة دون الحاجة إلى خادم تحكم مركزي.

ما هي Docker؟

Docker هي مجموعة من الأدوات والمنصات التي تستخدم تقنية المحاكاة الافتراضية على مستوى نظام التشغيل لتوزيع البرمجيات في حزم صغيرة تسمى “حاويات”.

أدوات الهجوم الرئيسية

استخدم المهاجمون برمجيتين ضارتين مكتوبتين بلغة Golang:

الأولى تحمل اسم “nginx” لمحاولة التخفي كبرنامج خادم ويب شرعي.
الثانية تسمى “cloud” وهي البرنامج الفعلي المسؤول عن تعدين Dero.

كيف ينتشر البرنامج الخبيث؟

بعد اختراق أي خادم، يقوم модуل nginx بمسح الإنترنت تلقائياً باستخدام أدوات مثل Masscan لاكتشاف المزيد من نقاط Docker الضعيفة ونشر حاويات مصابة جديدة.

وصف الباحثون الحملة بأنها “تشبه تفشي حاويات الزومبي”، حيث تخلق العقدة المصابة تلقائياً عقداً جديدة لتعدين Dero والتوسع دون حاجة إلى تحكم خارجي – فقط وجود نقاط Docker غير مهيأة بشكل صحيح.

أساليب التخفي

لتجنب الاكتشاف، يقوم البرنامج بتشفير بيانات التكوين (مثل عناوين المحافظ ونقاط اتصال Dero) وإخفاء نفسه في مسارات تستخدم عادةً بواسطة برامج النظام الشرعية.

هل هذا التهديد جديد؟

وجدت كاسبرسكي أن نفس بنية المحافظ والعقد المستخدمة في هذه الهجمات ظهرت سابقاً في حملات استهدفت مجموعات Kubernetes خلال عامي 2023 و2024، مما يشير إلى تطور لعملية معروفة وليس تهديداً جديداً بالكامل.

لكن استخدام آلية الانتشار الذاتي وغياب خادم تحكم مركزي يجعل هذه الحملة أكثر صعوبة في الإيقاف.