Современные технологии контейнеризации значительно упростили развертывание и управление приложениями в корпоративных и облачных средах. Docker стал де-факто стандартом в этой области, позволяя создавать изолированные контейнеры, облегчающие управление зависимостями и масштабирование сервисов. Однако вместе с широтой применения Docker возрастает и количество угроз, связанных с неправильной настройкой инструментов и интерфейсов этой платформы. В 2025 году специалисты по безопасности выявили новую волну атак, в которой злоумышленники эксплуатируют уязвимости misconfiguration Docker API, чтобы тайно запускать процессы майнинга криптовалюты, маскируя свои действия через сеть Tor. Подобный способ позволяет не только скрыть следы атаки, но и значительно усложняет задачи обнаружения и блокировки вредоносной активности.
Технически все начинается с того, что злоумышленники обращаются к API Docker по определённому IP-адресу, например 198.199.72.27, с запросом получения списка контейнеров на целевой машине. Если соответствующие контейнеры отсутствуют, происходит создание нового, основанного на минималистичном образе Alpine, и при этом директория /hostroot, представляющая корень файловой системы основного хоста, монтируется внутрь контейнера.
Это критическая ошибка в безопасности, поскольку такой доступ даёт злоумышленнику контроль над системой вне привычных ограничений контейнеризации, что называется контейнерным эскейпом. На этапе создания контейнера запускается исполняемый shell скрипт, код которого закодирован в Base64 и отвечает за установку и настройку сети Tor внутри контейнера. Вредоносный скрипт забирается с удалённого адреса в зоне onion и запускается уже в окружении, а весь трафик, включая DNS-запросы, маршрутизируется через socks5h-прокси на базе Tor для анонимизации действий злоумышленника. Такой подход позволяет скрыть расположение командного сервера (C&C) и усложняет мониторинг атаки даже передовыми средствами безопасности. Далее злоумышленники модифицируют конфигурацию SSH на хост-системе, разрешая удалённый вход с правами root и добавляя в файл авторизованных ключей свой открытый SSH-ключ.
Это обеспечивает длительное и незаметное присутствие в системе. Кроме того, устанавливаются утилиты masscan, libpcap, zstd и torsocks, необходимые для сетевого сканирования, перехвата трафика и работы через Tor. На финальном этапе загружается бинарный файл – дроппер для майнера XMRig, одного из популярных решений для добычи цифровой валюты Monero. Внедряется продвинутая конфигурация майнинга с адресами кошельков и пулами для максимальной эффективности добычи. Характерно, что жертвами этой кампании становятся компании из сфер технологий, финансов и здравоохранения – сегменты, традиционно обладающие крупными вычислительными ресурсами.
Уязвимости в настройках Docker API связаны с тем, что по умолчанию Docker позволяет управлять контейнерами через Unix-сокет или TCP, и если эти интеграции настроены без должной аутентификации или ограничений по IP, злоумышленники получают прямой доступ к управлению контейнерами. В сочетании с отсутствием мониторинга и анализа поведения процессов это превращает систему в лёгкую мишень. Кроме Docker уязвимости сохраняются и в других компонентах облачной инфраструктуры. Так, исследование компании Wiz выявило сотни секретных ключей и конфиденциальных данных, открытых в публичных репозиториях кода. Множество из них содержатся в конфигурационных файлах, таких как mcp.
json и .env, а также в Python ноутбуках, которые могут содержать ценные сведения о внутренней структуре и окружении проектов. Это свидетельствует о недостаточном контроле качества защиты, который подвергает риску не только код, но и инфраструктурные системы. Текущая тенденция к росту атак на контейнеризированные и облачные среды требует от компаний внедрения многоуровневых стратегий безопасности. Во-первых, крайне важно закрывать неиспользуемые публичные интерфейсы API, включая Docker, и ограничивать доступ по IP, аутентифицировать пользователей через механизмы OAuth, сертификаты или VPN.
Во-вторых, необходимо регулярно обновлять образы и инструменты, следить за патчами и уязвимостями. Тщательный аудит систем с использованием средств SIEM поможет вовремя выявлять подозрительную активность, например запуск Tor или выполнение нетипичных сетевых запросов. Обучение сотрудников и разработчиков правилам безопасности и грамотному управлению секретами уменьшит риски непреднамеренной утечки данных в публичные репозитории. Облака и контейнеры предоставляют уникальные возможности для бизнеса, но требуют адекватного контроля. Хакеры быстро адаптируются под новые реалии, что демонстрируется типичным примером с запуском майнеров через Docker API с использованием Tor.
Поэтому безопасность перестраивается от прежнего подхода локальной защиты к комплексной стратегии управления доступом, мониторингом и реакцией на инциденты с учётом современных угроз. Благодаря интеграции современных средств и инструментов кибербезопасности возможно выявлять и останавливать атаки, минимизируя ущерб и сохраняя репутацию организаций. Важно помнить, что криптомайнинг с помощью ресурсов чужих систем не только приносит злоумышленникам прибыль, но и наносит значительный вред бизнес-процессам из-за снижения производительности, потенциальных сбоев и даже потери данных. Поэтому защита контейнеров и их API становится одной из первоочередных задач специалистов по безопасности в 2025 году и далее.
