Palo Alto halla 20 millones de descargas de cryptojacking en Docker Hub

La firma de seguridad cibernética estadounidense Palo Alto Networks, a través de su Unidad 42, detectó 30 imágenes maliciosas de cryptojacking en repositorios de Docker Hub, las cuales ya han sido descargadas 20 millones de veces. Así lo reportó la compañía de ciberseguridad el pasado 26 de marzo, en su sitio web.

De acuerdo con el reporte de Palo Alto Networks, las operaciones de cryptojacking implicadas en este hallazgo han extraído aproximadamente 200.000 dólares estadounidenses en criptomonedas como Monero (XMR). Cabe destacar que el cryptojacking o la minería de criptomonedas maliciosa es una estrategia utilizada por ciberdelincuentes para minar monedas criptográficas de forma ilegal, valiéndose de los recursos informáticos de terceros.

Docker Hub es un servicio para el registro de repositorios, que permite la distribución de software de forma sencilla, a través de imágenes de contenedor. Dichas imágenes están siendo utilizadas por delincuentes informáticos para distribuir mineros de criptomonedas maliciosos, de acuerdo con el investigador Aviv Sasson de la Unidad 42 de Palo Alto Networks.

En este reciente descubrimiento de ataques de cryptojacking basados en la nube, Sasson detectó 30 imágenes dañinas de 10 cuentas diferentes en Docker Hub, con 20 millones de extracciones, que se traduce en 20 millones de descargas. Sasson afirmó que hay razones suficientes como para sospechar que hay más imágenes maliciosas en Docker Hub y en otros repositorios públicos.

Articulosde interes

Acciones caen, pero el CEO de Palo Alto lanza mensaje clave

18 de febrero de 2026

768

3 acciones ignoradas en Wall Street para comprar ahora

6 de marzo de 2024

4.8k

El investigador de la Unidad 42 encontró que la criptomoneda más popular entre estos ataques de cryptojacking es Monero (XMR); sin embargo, halló mineros maliciosos de las monedas criptográficas Grin (GRIN) y Arionum (ARO). Específicamente, el 90,3% de las operaciones con cryptojaking descubiertas fueron creadas para extraer XMR, mientras que un 6,5% de las operaciones fueron diseñadas para minar GRIN, y un 3,2% para minar ARO.

Para la extracción de XMR, el investigador halló que el software XMRig es el más utilizado, con presencia en el 90% de los casos, y en el 10% restante se implementó el minero Xmr-stack. Con respecto a los nombres de las imágenes maliciosas, Sasson compartió la lista de sus nombres para alertar al público en general.

Un detalle resaltante que descubrió Sasson es que algunas imágenes tienen etiquetas para adaptarse a distintos sistemas operativos, y también etiquetas con diversos tipos de mineros maliciosos. Al respecto, Sasson agregó que esto último permite que los ciberatacantes puedan «elegir el mejor criptominero para el hardware de la víctima».

Diseñado para permanecer oculto ante los usuarios afectados, el cryptojacking es una forma de minería maliciosa que se puede esconder en computadoras de escritorio, laptops, dispositivos móviles (incluso se puede apoderar de navegadores web y servidores de red) para extraer criptomonedas con los recursos de los afectados, tal como explica Malwarebytes.

A finales de enero de este año, la Unidad 42 de Palo Alto Networks comunicó el descubrimiento de un nuevo malware dirigido a servidores en la nube, como Oracle, Apache y Redis, para filtrar minería maliciosa de la criptomoneda Monero (XMR), al cual denominaron Pro-Ocean. Según los investigadores, una vez instalado en el dispositivo atacado, Pro-Ocean es capaz de detener los procesos que consumen poder en el computador, con el objetivo de utilizar el 100% del hashrate para minar XMR.

Imagen destacada por Katie White/ pixabay.com