كشفت تقارير حديثة في أغسطس 2025 عن تطور مقلق لبرمجية خبيثة تستهدف خوادم دوكر، حيث تحولت من مجرد أداة لتعدين العملات الرقمية إلى تهديد أكثر تعقيدًا. هذه النسخة الجديدة، التي رصدتها فرق أمنية، تتخلى عن التعدين لصالح تقنيات أكثر خفاءً، مثل الأبواب الخلفية وآليات الثبات، مع قدرة على منع البرمجيات الخبيثة الأخرى من الوصول إلى الخادم المصاب، مما يجعلها تهديدًا أكثر خطورة.
تعتمد البرمجية الخبيثة على استغلال واجهات برمجة تطبيقات دوكر (API) غير المؤمنة، والتي غالبًا ما تُترك مفتوحة على المنفذ 2375 دون تشفير TLS. يقوم المهاجمون بإنشاء حاوية باستخدام صورة ألباين لينكس الخفيفة، ثم يربطون نظام ملفات الخادم الرئيسي وينفذون نصوصًا مشفرة عبر شبكة تور لإخفاء أثرهم. هذه النصوص تثبت أدوات مثل curl وmasscan لفحص أهداف أخرى، ثم تنشر مكونات ضارة. بعد التثبيت، تستخدم البرمجية مفاتيح SSH مزيفة ومهام cron لضمان استمراريتها.
ما يميز هذه النسخة هو قدرتها على حماية نفسها من المنافسين. فهي تعدل قواعد جدار الحماية لقطع الوصول إلى المنفذ 2375، وتزيل الحاويات الضارة الأخرى، مثل تلك التي تعتمد على أوبونتو. كما تحتوي على أكواد غير مفعلة بعدُ لاستهداف منافذ مثل Telnet (23) أو منفذ تصحيح كروم (9222)، مما قد يتيح سرقة بيانات أو إعادة توجيه الجلسات. وجود رمز تعبيري في الكود يشير إلى احتمال استخدام الذكاء الاصطناعي في تطويره، مما يزيد من تعقيده.
على المسؤولين عن الخوادم تعزيز الحذر: تأمين واجهات البرمجة باستخدام TLS، تقليل المنافذ المفتوحة، ومراقبة الحاويات التي تثبت حزمًا مشبوهة أمر ضروري. أدوات الكشف مثل VirusTotal لا تزال غير قادرة على رصد هذه النسخة بالكامل، مما يجعلها أكثر خطورة. هذا التهديد يذكّر بأن إعدادات دوكر غير المدروسة قد تعرض الخوادم لمخاطر جسيمة.
