أطلقت مجموعة من المخترقين حملة تعدين خفي جديدة يوم ٢٤ نوفمبر، حيث تم فحص ما يصل إلى ٥٩٠٠٠ شبكة IP للعثور على منصات Docker التي لديها نقاط نهاية واجهة برمجة التطبيقات مكشوفة على الإنترنت، حسبما أفاد موع أخبار التكنولوجيا زدنت يوم ٢٦ نوفمبر.
ووفقًا للتقرير، تستهدف الحملة مثيلات Docker الضعيفة من أجل نشر برامج ضارة مشفرة لتوليد أموال لمجموعة القرصنة عن طريق تعدين مونيرو (XMR).
وقد تم اكتشاف مشكلة المسح الشامل لأول مرة بواسطة شركة أمن الإنترنت الأمريكية Bad Packets LLC يوم ٢٥ نوفمبر.
حيث قال تروي مورش، كبير الباحثين والمؤسس المشارك للشركة، إن استغلال النشاط الذي يستهدف مثيلات Docker المكشوفة ليس بالأمر الجديد ويحدث كثيرًا. وفي مارس ٢٠١٨، أبلغت شركة الأمن السيبراني Imperva أن ٤٠٠ خوادم Docker - التي كان يمكن الوصول إليها عن بعد من خلال واجهة برمجة تطبيقات واجهة برمجة التطبيقات - تتضمن برامج تعدين مونيرو.
استخدم المتسللون عامل تشفير مونيرو "كلاسيكي"
أخبر مورش، الذي اكتشف الحملة، ودنت أنه بمجرد أن تتمكن مجموعة القرصنة من التعرف على مضيف مكشوف، ينشر المهاجمون نقطة نهاية API لبدء تشغيل حاوية Alpine على نظام التشغيل لينكس مع أمر يقوم بتنزيل وتشغيل نص Bash من خادم المهاجمين . ثم يقوم هذا النص البرمجي بتثبيت "برنامج تعدين XMRRig كلاسيكي."
ووفقًا لمورش، قام المتسللون بتعدين ١٤,٨٢ ريبل خلال اليومين اللذين كانت فيه حملة استهداف Docker نشطة، والتي تبلغ قيمتها ٨٣٥ دولارًا في وقت كتابة المقالة.
Docker هي أداة مطورة مصممة لتبسيط عمليات إنشاء ونشر وتشغيل البرامج باستخدام الحاويات. وتسمح الحاويات للمطورين بحزم أحد التطبيقات مع جميع الأجزاء المطلوبة مثل المكتبات والتبعيات الأخرى وتقديمها كحزمة واحدة.
ولتجنب الثغرة المكتشفة حديثًا، يوصي مورش بأن يقوم المستخدمون الذين يقومون بتشغيل مثيلات Docker بالتحقق الفوري مما إذا كانوا يقومون بتعريف نقاط نهاية واجهة برمجة التطبيقات الخاصة بهم على الإنترنت وإغلاق المنافذ وإنهاء حاويات التشغيل غير المعترف بها.