نشر ناثانيال بيل، باحث هندسة البرمجيات الخبيثة في شركة Darktrace، في 10 يونيو تحليلاً لاختراق وقع على حاوية خدمة استدراج (honeypot) تعمل بنظام Docker، حيث استخدم المهاجمون حاوية غير مضبوطة بشكل آمن للهروب إلى المضيف وتثبيت أداة Nezha — وهي أداة مراقبة خوادم صينية شرعية ومفتوحة المصدر حاصلة على ما يقرب من 10,000 نجمة على GitHub — كأداة تحكم وأوامر (command-and-control) خفية. بدأت سلسلة الهجوم بأمر إنشاء حاوية (docker create) خبيث مرر دليل cron.d الخاص بالمضيف إلى الحاوية؛ ثم كتب المهاجم مهمة مجدولة على مستوى الجذر (cron job) تقوم بجلب وتنفيذ سكربت شل يعمل عن بُعد، والذي قام بتنزيل نسخة معدلة من المثبت الرسمي لـ Nezha مضبوطة مسبقًا بعنوان خادم المهاجم ومجردة من المطالبات التفاعلية. نظرًا لأن Nezha أداة إدارية معروفة، فإن وجودها يمكن أن يندمج ضمن الأدوات التشغيلية المتوقعة ويتجنب اكتشاف البرامج الضارة — وهي تقنية تسميها Darktrace «انعكاس الثقة (trust inversion)». في وقت التحليل، أظهرت لوحة تحكم المهاجم الخاصة بـ Nezha 141 خادمًا مصابًا، منها 45 لا يزال متصلاً بالإنترنت؛ كما كشفت الحملة عن عيب تصميمي — لوحة مراقبة Nezha لا تتطلب أي مصادقة لعرض قائمة المضيفين، مما يسمح بالاطلاع علنًا على حجم التوزيع الجغرافي لضحايا الاختراق. كما حددت Darktrace بشكل منفصل 33 تثبيتًا لـ Nezha مواجهًا للإنترنت يمكن الوصول إليها عبر Shodan و Censys.
بالمقابل، يعمل مجتمع الخوادم الخاصة الافتراضية (VPS) الناطق بالصينية على بناء أدوات دفاعية. يوفر مشروع GitHub Nezha-cleaner (41 نجمة، رخصة MIT) سكربت باش من 10 خطوات يقوم بإنهاء عمليات Nezha وإزالة خدمات وملفات systemd الخاصة بها ومسح إدخالات cron وفحص نظام الملفات بحثًا عن آثار متبقية — مع إصدار الإصدار v1.4 الذي صدر هذا الشهر والذي يضيف حماية Docker ثلاثية المستويات لتجنب إزالة الحاويات غير المرتبطة عن طريق الخطأ. نُشر المشروع لأول مرة في مايو 2025 وخضع لعدد من التحديثات السريعة، مما يشير إلى وجود مشكلة أساسية مستمرة تتمثل في تثبيتات غير مصرح بها لـ Nezha على مضيفات VPS التي تعمل بنظام Linux. تعكس سلسلة مناقشات منتدى NodeSeek المرتبطة بهذه المصادر نقاشًا مجتمعيًا نشطًا حول الاكتشاف والمعالجة. الرأي الأوسع لـ Darktrace: مع ازدياد شيوع إساءة استخدام البرامج ثنائية الاستخدام، يجب على المؤسسات الاستثمار في ضوابط رؤية السلوك والأصول بدلاً من الاعتماد فقط على الاكتشاف القائم على توقيعات البرامج الضارة، خاصة في البيئات السحابية حيث يمكن أن تكون أدوات المراقبة الشرعية والثغرات الخلفية للمهاجمين غير قابلة للتمييز من حيث الوظيفة.