اكتشفت شركة بالو ألتو نتوركس دودة خبيثة لتعدين العملات المشفرة تعمل على الأجهزة المخترقة كانت قد انتشرت في أكثر من 2,000 جهاز استضافة لأنظمة للحوسبة الافتراضية. وأطلقت بالو ألتو نتوركس على الدودة تسمية "جرابويد" Graboid  والمستمدة من فيلم "تريمرز" (هزّات) للعام 1990، حيث يوجد تشابه سلوكي بين هذه الدودة الخبيثة ودودة الرمال العملاقة في الفيلم المذكور من ناحية حركتها وفق خطوات سريعة، إلا أنها عمومًا لا تتمتع بالبراعة ذاتها. 

وسبق أن وقعت هجمات اتخذت شكل دودة تعدين سري للعملات المشفرة، لكن هذه المرة الأولى التي تستخدم  فيها دودة تعدين خبيثة الحاويات (آلات افتراضية للحوسبة). ويصعب كشف هذا النوع من الأنشطة الخبيثة نظرًا لعدم قيام أغلب برمجيات الحماية التقليدية في النقاط النهائية بتمحيص البيانات والأنشطة الحاصلة في الحاويات. وقد تمكنت الجهة المعادية من ترسيخ أول موطئ قدم لها عن طريق برنامج دوكر لإدارة الحاويات، حيث جرى للمرة الأولى تشغيل نسخة لنظام مخترق على جهاز مضيف. ويتم نشر هذه البرمجية الخبيثة، والتي جرى تنزيلها من خوادم هجومية، بهدف تعدين العملات المشفرة مع مجموعة مونرو للتعدين، وتقوم البرمجية الخبيثة بشكل متكرر بالبحث عن أجهزة استضافة ضعيفة أخرى بواسطة الخادم الهجومي ويقع اختيارها بشكل عشوائي على الهدف الجديد لأجل نشر الدودة فيه. وأظهر تحليل بالو ألتو نتوركس نشاط كل دودة تعدين بنسبة 63% من الوقت بمعدل وسطي، وتستغرق كل فترة تعدين 250 ثانية. 

وبهذه المناسبة، قال جاي تشان، الباحث الأمني لدى بالو ألتو نتوركس: "أظهر بحث سريع على موقع شودان وجود أكثر من 2000 آلة افتراضية معرّضة بطريقة غير آمنة لشبكة الإنترنت. حيث تستطيع أي جهة معادية اكتساب سيطرة كاملة على محرك دوكر والجهاز المضيف من دون أي تخويل أو استيثاق. وينطلق المهاجمون من هذه الثغرة لنشر الدودة. وقد اخترق المهاجمون نظام إدارة دوكر، وقاموا بتشغيل حاوية دوكر مستجلبة من موقع دوكر هاب Docker HubK، ثم عمدوا إلى تنزيل بضع نصوص برمجية وقائمة بعناوين أجهزة استضافة غير محصنة من الخوادم الهجومية، ثم اختاروا الأهداف الأخرى لنشر الدودة بشكل متكرر".

وتقوم البرمجية الخبيثة بنشر الدودة وتعدين العملات الرقمية سرًا ضمن حاويات آلات الحوسبة الافتراضية. ويقع اختيار الدودة بشكل عشوائي على ثلاثة أهداف في كل دورة عمل. حيث يتم تثبيت الدودة على الهدف الأول وإيقاف التعدين على الهدف الثاني وتشغيل التعدين على الهدف الثالث. وتؤدي هذه العملية إلى سلوك عشوائي جدًا في التعدين. فإذا جرى اختراق أحد الأجهزة المضيفة، لا تبدأ الحاوية المصابة في العمل مباشرة. عوضًا عن ذلك، تبدأ عملية التعدين فور قيام أحد أجهزة الاستضافة الأخرى المخترقة بمنح إشارة بدء التعدين. ويمكن لأجهزة مخترقة أخرى إرسال إشارة بدء عملية التعدين. حيث يتم بالأساس التحكم بالتعدين في كل جهاز مصاب بشكل عشوائي من قبل كافة الأجهزة الأخرى المصابة. ولا يتضح الدافع من وراء هذه العشوائية في التصميم. فربما يكون مجرد تصميم رديء أو أسلوب لأجل المراوغة (رغم كونه غير فعال جدًا) أو نظام ذاتي الاستدامة أو لأغراض أخرى .