趋势：骇客透过曝露在外的Docker Engine API来部署挖矿程式

趋势科技于上周警告，骇客已利用Docker Engine社群版（Community）因配置错误而让应用程序界面（API）的传输埠曝露在外的机会，在这些系统上部署挖矿程式。

研究显示，Docker Engine本身并未受到危害或遭到滥用，Docker企业版平台也未受到影响，只在Docker社群版看到少数的滥用案例。骇客在网络上扫描Docker Engine Daemon所使用且公开的2375/TCP及2376/TCP传输埠，再借由可远端控制Docker映像档的API伺机部署门罗币的挖矿程式。

不管是Docker的文件或指南都建议用户不应公开这些传输埠，但这些错误配置都是由管理员手动设定，透露出骇客的攻击行动完全是仰赖用户的疏失，迄今出现最多相关恶意行为的国家依序是美国、新加坡、中国、法国、荷兰及瑞士。

有趣的是，有别于Windows，Linux上的Daemon都必须手动配置，但曝露在外的系统大多数执行的却都是Linux OS。

挖矿骇客不遗余力地寻找可用的运算资源来协助他们挖矿，日前Docker才自Docker Hub移除了17个含有挖扩程式或Reverse Shell后门的恶意容器映像档，而且这些映像档存在Docker Hub上的时间长达一年，下载次数超过500万次。