São Paulo — InkDesign News — Um novo variante de malware, direcionado a APIs do Docker expostas, foi identificada pelo Hunt Team da Akamai, alterando a paisagem de exploração detectada anteriormente nesta temporada.
Incidente e vulnerabilidade
O malware explora a configuração inadequada das APIs do Docker, dificultando o acesso externo e introduzindo ferramentas para controle do sistema. Essa nova variante, diferente da primeira detecção em junho de 2025, não instala um minerador de criptomoedas, mas sim bloqueia acessos e realiza uma série de ações visando consolidar controle. A Akamai observou que, após obter acesso, o malware consegue acessar o sistema de arquivos host, executar um script codificado em Base64 e instalar mecanismos de persistência, bloqueando ainda a porta 2375, o que poderia dificultar a entrada de outros atacantes.
Impacto e resposta
O impacto desta variante se estende à criação de uma rede auto-propagante, sinalizando os primeiros passos na construção de um botnet. O código do malware inclui rotinas para escaneamento de outras APIs do Docker e é capaz de eliminar containers de sistemas concorrentes, como os que executam o Ubuntu, amplamente utilizados por outros criminosos cibernéticos para mineração de criptomoedas. Akamai utilizou um projeto de honeypot de código aberto, o Beelzebub, para simular as respostas da API do Docker, revelando táticas adotadas pelos atacantes.
A pesquisa demonstrou uma mudança na utilização das APIs expostas do Docker, revelando que a intenção dos atacantes é construir infraestrutura ao invés de realizar retornos rápidos.
(“The research demonstrated a shift in the use of exposed Docker APIs, revealing that the attackers’ intent is to build infrastructure rather than achieve quick returns.”)— Akamai Research Team
Mitigações recomendadas
Para mitigar os riscos associados a essa vulnerabilidade, é crucial que os usuários do Docker mantenham suas APIs fora da internet pública e monitorem suas atividades frequentemente. Além disso, recomenda-se a implementação de atualizações de segurança e práticas robustas que incluam, mas não se limitem a:
- Desabilitar acessos não utilizados às APIs e recursos de gerenciamento;
- Usar firewalls apropriados para restringir o tráfego desnecessário;
- Implementar autenticação forte para acessar as APIs do Docker.
A proteção contínua contra ameaças cibernéticas é uma responsabilidade compartilhada entre todos os desenvolvedores e operadores de sistemas.
(“Ongoing protection against cyber threats is a shared responsibility among all system developers and operators.”)— Especialista em Segurança, Akamai
A incessante evolução das táticas de ataque ressalta a necessidade contínua de vigilância e adaptação de estratégias de defesa, pois os atacantes estão constantemente explorando novas vulnerabilidades. É essencial permanecer atento às tendências emergentes no cenário de segurança.
Fonte: (Hack Read – Segurança Cibernética)
