有没有人遇到过？自己的DoCKer突然沦为了矿机，疯狂地帮人挖矿。如果有那么，恭喜你，你用了别人伪装的公开镜像了。这些镜像自带门罗币挖掘机，通过Docker Hub装到了你的Docker里。

根据最新安全分析，Docker Hub中至少存在30个恶意挖矿镜像，他们已经总共被下载了2000万次，很多人的Docker已经沦为别人的矿工。这些恶意镜像（分布在10个不同的Docker Hub账户中），大约已经挖矿赚了大约20万美元。

根据实例分析，最受欢迎的加密货币是门罗币（Monero），占所有激活的90%。由于Monero提供了“最大匿名性”，隐藏交易路径，支持各种平台，而且挖矿经济效率也最好，所以天然适合作为非法活动挖矿用。

分析还发现，大多数攻击的Monero开采程序都使用了旧版的XMRig工具。XMRig是一个最受欢迎的Monero矿工。它易于使用，高效且最重要的是开源，最受攻击者的青睐。例如，大多数门罗币加密货币矿工强行将其采矿时间的一定比例捐赠给矿工的开发人员。攻击者首先会修改程序，将捐赠百分比更改为零。

另外两种常用的加密货币还有Grin（占活动的6.5%）和Arionum（占活动的3.2%）。

恶意软件会通过在Docker Hub容器注册表中公开可用的木马镜像在云中传播，以用于构建云应用程序。就像npm或Ruby这样的公共代码存储库一样，任何人都可以将镜像上传到Docker Hub账户。

目前发现的恶意账户有azurenql，021982，dockerxmrig，ggcloud1和ggcloud2等。恶意镜像都使用了特殊标签，用来伪装成一些主流程序镜像的不同版本。

在恶意镜像标签设计时，某些镜像针对不同的cpu架构或操作系统添加了不同的标签，这些标签是为了适应包括许多操作系统（OS）和CPU体系结构在内的各种潜在受害者。在某些镜像中，甚至还有内置了不同类型的加密矿工的种类。并可以在根据受害者的硬件选择最佳的加密矿机。

2018年以来，基于Docker的加密劫持和恶意软件攻击事件一直在增加，这主要是由于云可以提供的挖矿所需的强大功能。云包含每个目标的许多实例（例如，大量的CPU，大量的容器，大量的虚拟机），都可以转化为可观的采矿利润。

过去的一些历史事件包括通过错误配置的Docker接口传播的加密劫持蠕虫:

一个名为Doki的全新Linux后门，它使用Ngrok为基础的botnet来感染Docker服务器，并使用区块链钱包来生成命令和控制（C2）域名；

去年12月，研究人员发现了一个名为Xanthe的门罗币加密僵尸网络，该僵尸网络一直在利用错误配置的Docker API安装来感染Linux系统。

推荐您阅读更多有关于“门罗币 XMR”的文章