HomeNotícias* Os atacantes estão a explorar APIs Docker mal configuradas para minerar criptomoeda em ambientes de nuvem.
Eles usam a rede Tor para esconder suas atividades enquanto implantam mineradores de criptomoeda.
Os atacantes ganham acesso, criam novos contentores e montam diretórios críticos do sistema, correndo o risco de fugas de contentores.
O ataque envolve a instalação de ferramentas e scripts para configurar acesso remoto, coletar dados e instalar o minerador XMRig.
Descobertas recentes mostram centenas de credenciais vazadas em repositórios de código públicos, expondo as empresas a um risco adicional.
Uma campanha ativa está a direcionar instâncias Docker mal configuradas para minerar criptomoeda secretamente, de acordo com as descobertas de pesquisadores da Trend Micro divulgadas em junho de 2025. Os atacantes supostamente exploram APIs Docker mal configuradas, usando a rede Tor para permanecer anônimos enquanto implantam ferramentas de mineração de criptomoeda em contêineres vulneráveis hospedados na nuvem.
Anúncio - Pesquisadores observaram que o ataque normalmente começa com um pedido à API do Docker para recuperar uma lista de contêineres no host. Se nenhum contêiner existir, os atacantes criam um novo contêiner usando a imagem "alpine" e montam o diretório raiz do sistema host como um volume compartilhado. Esta etapa pode permitir que os atacantes contornem a isolação do contêiner e acessem arquivos na máquina host, aumentando o risco de comprometimento mais amplo do sistema.
A Trend Micro afirma que, depois de estabelecer um novo contêiner, os invasores executam um shell script codificado em Base64 para instalar o Tor dentro do contêiner. Em seguida, baixam e executam um script remoto hospedado em um endereço .onion, usando ferramentas e configurações como "socks5h" para rotear todo o tráfego através do Tor. De acordo com os pesquisadores, *"Reflete uma tática comum usada por atacantes para esconder a infraestrutura de comando e controle (C&C), evitar a deteção e entregar malware ou mineradores dentro de ambientes comprometidos de nuvem ou contêineres", acrescentando que esse método complica os esforços para rastrear a origem do ataque.
Uma vez que o ambiente está configurado, os atacantes implantam um script shell chamado "docker-init.sh." Este script verifica se o diretório "/hostroot" está montado, altera as configurações do SSH para permitir logins como root e adiciona uma chave SSH do atacante para acesso futuro. Ferramentas adicionais, como masscan e torsocks, são instaladas, permitindo que os atacantes escaneiem redes e evitem ainda mais a deteção. O ataque culmina com a instalação de um minerador de criptomoeda XMRig, configurado com endereços de carteira e pools de mineração controlados pelos atores da ameaça.
Trend Micro nota que esta atividade visa principalmente os setores de tecnologia, financeiro e saúde. A empresa também destaca um risco de segurança relacionado, após a Wiz descobrir que centenas de credenciais sensíveis surgiram em repositórios públicos, incluindo arquivos em cadernos Python e arquivos de configuração de aplicações, com as organizações afetadas variando de startups a empresas do Fortune 100. Os pesquisadores alertam que os resultados da execução de código em cadernos Python compartilhados podem revelar informações valiosas para atacantes capazes de ligá-las de volta às suas fontes.
A tendência sublinha a importância de assegurar ambientes de nuvem e contêineres, especialmente à medida que os atacantes continuam a automatizar explorações e procurar credenciais expostas em repositórios de código públicos.
Artigos Anteriores:
Mastercard junta-se à Paxos Global Dollar Network para impulsionar as stablecoins
Os Mercados de Cripto Disparam com Trump a Mediar um Cessar-fogo entre Irão e Israel
O Banco Central dos EUA Remove o ‘Risco Reputacional’ na Supervisão Bancária
Funcionários de Fort Myers Combatem o Aumento de Golpes em Caixas Eletrônicos de Criptomoedas sobre Idosos
ETH sobe 8% após Trump anunciar cessar-fogo entre Israel e Irão
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
Atacantes abusam das APIs Docker e do Tor para lançar cryptojacking na nuvem
HomeNotícias* Os atacantes estão a explorar APIs Docker mal configuradas para minerar criptomoeda em ambientes de nuvem.
A Trend Micro afirma que, depois de estabelecer um novo contêiner, os invasores executam um shell script codificado em Base64 para instalar o Tor dentro do contêiner. Em seguida, baixam e executam um script remoto hospedado em um endereço .onion, usando ferramentas e configurações como "socks5h" para rotear todo o tráfego através do Tor. De acordo com os pesquisadores, *"Reflete uma tática comum usada por atacantes para esconder a infraestrutura de comando e controle (C&C), evitar a deteção e entregar malware ou mineradores dentro de ambientes comprometidos de nuvem ou contêineres", acrescentando que esse método complica os esforços para rastrear a origem do ataque.
Uma vez que o ambiente está configurado, os atacantes implantam um script shell chamado "docker-init.sh." Este script verifica se o diretório "/hostroot" está montado, altera as configurações do SSH para permitir logins como root e adiciona uma chave SSH do atacante para acesso futuro. Ferramentas adicionais, como masscan e torsocks, são instaladas, permitindo que os atacantes escaneiem redes e evitem ainda mais a deteção. O ataque culmina com a instalação de um minerador de criptomoeda XMRig, configurado com endereços de carteira e pools de mineração controlados pelos atores da ameaça.
Trend Micro nota que esta atividade visa principalmente os setores de tecnologia, financeiro e saúde. A empresa também destaca um risco de segurança relacionado, após a Wiz descobrir que centenas de credenciais sensíveis surgiram em repositórios públicos, incluindo arquivos em cadernos Python e arquivos de configuração de aplicações, com as organizações afetadas variando de startups a empresas do Fortune 100. Os pesquisadores alertam que os resultados da execução de código em cadernos Python compartilhados podem revelar informações valiosas para atacantes capazes de ligá-las de volta às suas fontes.
A tendência sublinha a importância de assegurar ambientes de nuvem e contêineres, especialmente à medida que os atacantes continuam a automatizar explorações e procurar credenciais expostas em repositórios de código públicos.
Artigos Anteriores: