Специалист по исследованиям вредоносного ПО Darktrace Натаниэль Билл 10 июня опубликовал анализ вторжения в Docker-based хонипот, в ходе которого злоумышленники использовали неверно настроенный контейнер, чтобы выйти на хост и установить Nezha — легитимный, открытый китайский инструмент мониторинга серверов с примерно 10 000 звезд на GitHub — в качестве скрытого C2-импланта. Цепочка атак началась с вредоносной команды docker create, передавшей каталог cron.d хоста в контейнер; затем злоумышленник записал cron-задачу от root, которая загрузила и выполнила удаленный shell-скрипт, скачавший модифицированную версию официального установщика Nezha, предварительно настроенную с адресом сервера злоумышленника и лишенную интерактивных подсказок. Поскольку Nezha — признанный административный инструмент, его присутствие может влиться в ожидаемый набор операционных инструментов и обойти сигнатурные детекторы вредоносного ПО — методика, которую Darktrace называет «инверсией доверия». На момент анализа панель управления Nezha злоумышленника показывала 141 зараженный сервер, 45 из которых все еще были онлайн; кампания также выявила особенность конструкции панели мониторинга Nezha — она не требует аутентификации для просмотра списка хостов, что позволяет открыто узнать масштаб и географическое распределение жертв. Darktrace отдельно выявила 33 интернет-установки Nezha, доступные через Shodan и Censys.
Параллельно китайскоязычное сообщество VPS-хостеров создает защитные инструменты. Проект Nezha-cleaner на GitHub (41 звезда, лицензия MIT) предоставляет bash-скрипт из 10 шагов, который завершает процессы Nezha, удаляет его systemd-сервисы и бинарные файлы, очищает cron-задачи и сканирует файловую систему на предмет остаточных следов — а версия v1.4, выпущенная в этом месяце, добавляет трехслойную защиту Docker для предотвращения случайного удаления не связанных контейнеров. Проект впервые опубликован в мае 2025 года и быстро итерационно обновляется, что указывает на устойчивую базовую проблему несанкционированных установок Nezha на хостинг-серверах Linux. Тема на форуме NodeSeek, связанная с этими источниками, отражает активное обсуждение сообществом методов обнаружения и устранения. Общий вывод Darktrace: по мере того, как злоупотребление ПО двойного назначения становится все более распространенным, организациям следует инвестировать в поведенческий контроль и контроль видимости активов, а не полагаться исключительно на сигнатурное обнаружение вредоносного ПО, особенно в облачных средах, где легитимные инструменты мониторинга и бэкдоры злоумышленников могут быть функционально неразличимы.