IT 카스퍼스키, 도커 API 노린 Dero 채굴 악성코드 경고

카스퍼스키가 암호화폐 ‘데로(Dero)’를 채굴하는 리눅스 기반 악성코드 캠페인을 발견했다. 해당 악성코드는 외부에 노출된 도커(Docker) API를 통해 컨테이너 환경으로 침투한 뒤, 시스템 자원을 활용해 암호화폐를 채굴한다. 악성코드에 감염된 컨테이너는 자원을 할당받은 즉시 두 개의 악성 바이너리인 'cloud'와 'nginx'를 다운로드하고 실행한다. cloud는 데로 채굴기 역할을, nginx는 채굴기의 지속 실행과 감염 확산을 담당한다. 이 악성코드는 별도의 명령 제어 서버 없이 독립적으로 작동하며 감염된 컨테이너를 기반으로 추가 전파가 가능하다. 공격자는 표준 Ubuntu 이미지를 활용해 새로운 컨테이너를 만들거나 기존 컨테이너를 직접 감염시키는 방식으로 활동한다. 카스퍼스키는 이 악성코드를 'Trojan.Linux.Agent.gen' 및 'RiskTool.Linux.Miner.gen'으로 분류하고 있다. 해당 캠페인은 도커 API 기본 포트가 외부에 노출된 환경을 표적으로 삼고 있다. 카스퍼스키 시큐리티 서비스는 침해 평가 과정에서 해당 캠페인을 발견했으며 공격자는 도커 API 포트를 통해 원격에서 악성 이미지를 생성하고 자동 실행하도록 구성했

• 구서경 기자
• 2025-05-30 09:52