Palo Alto Network的安全研究員Aviv Sasson發現了30個被植入挖礦木馬的Docker鏡像，這些鏡像總計被下載了2000萬次。

安全專家檢查了礦池確定挖礦的賬戶持有的加密貨幣總量。Aviv Sasson發現在兩年內攻擊者持有的最大的礦池挖掘了價值 200000 美元的加密貨幣。

在容器鏡像中植入挖礦木馬是一種快速利用他人計算機資源幫助攻擊者挖掘加密貨幣的方式。安全專家在深入調查了Docker Hub后，發現了30個惡意鏡像，共計被拉取2000萬次，攻擊者利用此獲利超過 20 萬美元。

Docker Hub是世界上最大的容器鏡像托管社區，有來自軟件供應商、開源項目的超過十萬個容器鏡像。

在大多數鏡像中，攻擊者挖掘門羅幣(90.3%)，也挖掘其他的加密貨幣如GRIN(6.5%)、ARO(3.2%)。在挖掘門羅幣時，攻擊者主要使用XMRig挖礦，也有少量的Hildegard與Graboid。

Palo Alto Network在報告中表示：“XMRig確實是受歡迎的，非常易于使用、高效而且開源。攻擊者可以自己修改代碼，所以攻擊者非常喜歡使用XMRig”。

“正常情況下很多礦工都會將一部分算力捐贈給開發人員，攻擊者常見的會將捐贈比例修改為0”。

研究人員注意到，某些鏡像針對不同體系架構的CPU或操作系統有不同的標簽，攻擊者可以根據受害者的硬件選擇最合適的礦工進行加密貨幣的挖掘。

這些礦機都有相同的錢包地址，安全專家發現在這些惡意的賬戶以前也與密碼竊取事件相關。

云的普及為劫持提供了巨大的機會，安全專家開發了一個加密貨幣挖礦掃描工具，識別工具的有效載荷和錢包地址。即使通過簡單的工具，在幾百萬個鏡像里就可以發現幾十個惡意鏡像。

安全研究人員認為，這種問題可能比想象的更嚴重，有很多挖礦工具的有效載荷不容易被檢測出來。

Docker 鏡像

021982/155_138 
021982/66_42_53_57 
021982/66_42_93_164 
021982/xmrig 
021982/xmrig1 
021982/xmrig2 
021982/xmrig3 
021982/xmrig4 
021982/xmrig5 
021982/xmrig6 
021982/xmrig7 
avfinder/gmdr 
avfinder/mdadmd 
docheck/ax 
docheck/health 
dockerxmrig/proxy1 
dockerxmrig/proxy2 
ggcloud1/ggcloud 
ggcloud2/ggcloud 
kblockdkblockd/kblockd 
osekugatty/picture124 
osekugatty/picture128 
tempsbro/tempsbro 
tempsbro/tempsbro1 
toradmanfrom/toradmanfrom 
toradmanfrom/toradmanfrom1 
xmrigdocker/docker2 
xmrigdocker/docker3 
xmrigdocker/xmrig 
xmrigdocker/xmrig 
zenidine/nizadam 

參考來源：

• paloaltnetworks(https://unit42.paloaltonetworks.com/malicious-cryptojacking-images/)
• SecurityAffairs(https://securityaffairs.co/wordpress/116111/cyber-crime/docker-cryptojacking-attacks.html)