Imagem Docker qBittorrent infectada secretamente minerando criptomoedas
2025-09-23
Durante a migração de servidores, o autor descobriu um processo suspeito, netservlet, consumindo recursos excessivos da CPU dentro de um contêiner Docker hotio/qbittorrent. A investigação revelou que netservlet é um minerador de criptomoedas oculto, provavelmente XMRig ou uma variante. A análise de um despejo de núcleo revelou strings relacionadas à mineração de criptomoedas (por exemplo, cryptonight, ethash_calculate_dag_item) e um endereço de pool de mineração (auto.c3pool.org:19999). Isso destaca a importância de não confiar em imagens Docker aleatórias, monitorar regularmente os recursos do sistema e auditar hosts e contêineres para evitar violações de segurança.
Leia mais