حملات جدید بدافزاری علیه نمونه‌های Docker API که به درستی پیکربندی نشده‌اند، آنها را به شبکه‌ای از ربات‌های استخراج ارز دیجیتال تبدیل می‌کند. این حملات که برای استخراج ارز Dero طراحی شده‌اند، دارای قابلیت‌های کرم‌مانند برای انتشار بدافزار به سایر نمونه‌های Docker در معرض خطر هستند. کسپرسکی گزارش داد که مهاجمان با سوءاستفاده از Docker API ناامن منتشر شده، دسترسی اولیه به زیرساخت کانتینری را به دست آورده و سپس این دسترسی را برای ایجاد شبکه غیرقانونی cryptojacking به کار می‌برند.

زنجیره حمله از طریق دو جزء اصلی انجام می‌شود: بدافزار انتشار “nginx” که اینترنت را برای یافتن Docker APIهای در معرض خطر اسکن می‌کند و استخراج‌کننده ارز دیجیتال “cloud” Dero. هر دو بار مخرب با استفاده از Golang توسعه یافته‌اند. بدافزار انتشار برای ثبت فعالیت‌های در حال اجرا، راه‌اندازی استخراج‌کننده و ورود به حلقه بی‌نهایت برای تولید زیرشبکه‌های IPv4 تصادفی طراحی شده است. همزمان، محققان امنیتی کمپین دیگری را مستند کرده‌اند که شامل استقرار استخراج‌کننده سکه Monero همراه با backdoor جدیدی است که از پروتکل ارتباطی peer-to-peer PyBitmessage برای پردازش دستورات ورودی استفاده می‌کند.