15-09-2025, 15:54
Un malware évolutif qui pose problème à Docker ?
Récemment, une boîte de cybersécurité qui s’appelle Akamai a repéré une nouvelle version d’un malware qui fait du cryptomining (il utilise ton ordi pour miner des cryptos en cachette).
Ce malware avait déjà été repéré en juin 2025, mais il a évolué et est devenu encore plus dangereux. La dernière fois qu’on l’a vu, c’était en août 2025.
[b]Qu’est-ce que Docker ?[/b]
Docker, c’est un outil qu’on utilise en informatique pour faire tourner des applications dans des "conteneurs".
On peut dire que c’est un peu comme une boîte dans laquelle on met tout ce qu’il faut pour qu’un programme fonctionne correctement.
Qu’est-ce qui a changé dans cette nouvelle version du malware ?Avant, le malware installait directement un mineur de cryptomonnaie.
Maintenant, il installe d’abord des outils pour s’infiltrer et prendre le contrôle plus facilement.
Il est aussi meilleur pour rester caché et empêcher les autres malwares de venir.
[b]Pourquoi Docker est visé ?[/b]
Le malware attaque surtout les serveurs Docker qui sont mal configurés.
Par exemple, quand l’API Docker est accessible sur Internet sans sécurité (souvent sur le port 2375), les pirates peuvent :
curl
(pour télécharger)
tor
(pour rester anonyme)
Des scanners de réseau
Ensuite, ils mettent une clé SSH pour garder l’accès, créent des tâches automatiques, et surveillent le système.
Il bloque les autres piratesCe malware ne veut pas partager la machine.
Il bloque l’accès au port 2375 pour que d’autres malwares ou pirates ne puissent pas l’utiliser.
Il modifie les règles du pare-feu pour refuser les connexions, et il met ça en place avec des tâches cron.
Un truc nouveau : il touche au fichier crontab directement sur le système de la victime, ce qu’on n’avait jamais vu avant. Et en plus, aucun antivirus ne le détecte encore.
Il pourrait devenir un botnetCe malware est aussi capable de chercher d’autres ports comme :
Donc à terme, ça pourrait devenir un botnet (réseau de machines piratées).
[b]En résumé :[/b]
Ce malware attaque les serveurs Docker mal protégés.
Il installe des outils pour prendre le contrôle, rester en place, bloquer les autres pirates, et peut-être voler des données plus tard.
Il est plus avancé que les anciens, et il est difficile à détecter.
[b]Avis personnel : [/b]
En tant qu’étudiant en première année de BTS SIO, je trouve ce cas très intéressant, car il montre à quel point la sécurité informatique est importante, surtout quand on travaille avec des outils comme Docker, qu’on utilise beaucoup dans le développement et l’administration système.
Ce qui peut marquer, c’est que les pirates profitent juste d’une mauvaise configuration pour prendre le contrôle d’un serveur. Ça prouve que même des erreurs simples peuvent avoir de grosses conséquences.
J’ai aussi trouvé ça étonnant de voir à quel point le malware a évolué : il installe ses outils, bloque les autres pirates, et reste présent sur le système sans être détecté. Ça montre que les attaques deviennent de plus en plus difficiles à détecter et à éliminer et qu’en tant que futur informaticien, on faire très attention à la cybersécurité.
[b]SOURCES : www.lemondeinformatique.fr[/b]
Récemment, une boîte de cybersécurité qui s’appelle Akamai a repéré une nouvelle version d’un malware qui fait du cryptomining (il utilise ton ordi pour miner des cryptos en cachette).
Ce malware avait déjà été repéré en juin 2025, mais il a évolué et est devenu encore plus dangereux. La dernière fois qu’on l’a vu, c’était en août 2025.
[b]Qu’est-ce que Docker ?[/b]
Docker, c’est un outil qu’on utilise en informatique pour faire tourner des applications dans des "conteneurs".
On peut dire que c’est un peu comme une boîte dans laquelle on met tout ce qu’il faut pour qu’un programme fonctionne correctement.
Qu’est-ce qui a changé dans cette nouvelle version du malware ?Avant, le malware installait directement un mineur de cryptomonnaie.
Maintenant, il installe d’abord des outils pour s’infiltrer et prendre le contrôle plus facilement.
Il est aussi meilleur pour rester caché et empêcher les autres malwares de venir.
[b]Pourquoi Docker est visé ?[/b]
Le malware attaque surtout les serveurs Docker qui sont mal configurés.
Par exemple, quand l’API Docker est accessible sur Internet sans sécurité (souvent sur le port 2375), les pirates peuvent :
- Lancer un conteneur Docker
- Accéder aux fichiers du système
- Lancer des scripts malveillants qu’ils récupèrent via Tor
curl
(pour télécharger)
tor
(pour rester anonyme)
Des scanners de réseau
Ensuite, ils mettent une clé SSH pour garder l’accès, créent des tâches automatiques, et surveillent le système.
Il bloque les autres piratesCe malware ne veut pas partager la machine.
Il bloque l’accès au port 2375 pour que d’autres malwares ou pirates ne puissent pas l’utiliser.
Il modifie les règles du pare-feu pour refuser les connexions, et il met ça en place avec des tâches cron.
Un truc nouveau : il touche au fichier crontab directement sur le système de la victime, ce qu’on n’avait jamais vu avant. Et en plus, aucun antivirus ne le détecte encore.
Il pourrait devenir un botnetCe malware est aussi capable de chercher d’autres ports comme :
- Telnet (port 23)
- Le port 9222 de Chrome
Donc à terme, ça pourrait devenir un botnet (réseau de machines piratées).
[b]En résumé :[/b]
Ce malware attaque les serveurs Docker mal protégés.
Il installe des outils pour prendre le contrôle, rester en place, bloquer les autres pirates, et peut-être voler des données plus tard.
Il est plus avancé que les anciens, et il est difficile à détecter.
[b]Avis personnel : [/b]
En tant qu’étudiant en première année de BTS SIO, je trouve ce cas très intéressant, car il montre à quel point la sécurité informatique est importante, surtout quand on travaille avec des outils comme Docker, qu’on utilise beaucoup dans le développement et l’administration système.
Ce qui peut marquer, c’est que les pirates profitent juste d’une mauvaise configuration pour prendre le contrôle d’un serveur. Ça prouve que même des erreurs simples peuvent avoir de grosses conséquences.
J’ai aussi trouvé ça étonnant de voir à quel point le malware a évolué : il installe ses outils, bloque les autres pirates, et reste présent sur le système sans être détecté. Ça montre que les attaques deviennent de plus en plus difficiles à détecter et à éliminer et qu’en tant que futur informaticien, on faire très attention à la cybersécurité.
[b]SOURCES : www.lemondeinformatique.fr[/b]
![[-]](https://www.tisi-fr.com/board/images/collapse.png)