Quanto mais interconectados os ecossistemas digitais se tornam, mais lugares os atacantes encontram para se esconder, inclusive mudando de tática quando são descobertos é o que revela estudo da Akamai. A equipe de pesquisadores da empresa descobriu uma nova campanha ativa que tem como alvo APIs Docker expostas. Essa nova cepa parece usar ferramentas semelhantes às da original, mas pode ter um objetivo final diferente, possivelmente, a preparação da base de uma botnet complexa. Em junho de 2025, a equipe de Inteligência de Ameaças da Trend Micro relatou um malware que visava APIs Docker remotas expostas para instalar um criptominerador.
Segundo a análise, os atacantes inicialmente obtiveram acesso explorando APIs Docker mal configuradas, o que lhes permitia executar um novo contêiner baseado na imagem Alpine do Docker e montar o sistema de arquivos do host nele. Em seguida, executaram um payload codificado em Base64 que baixava um script malicioso de um servidor, o qual modificava as configurações de SSH no host para garantir persistência.
Como parte de uma pesquisa foi detectado uma requisição HTTP à API Docker da empresa vinda de vários endereços IP que tentavam criar um novo contêiner em um de nossos servidores. O relatório mostra que essa cepa recém-descoberta de malware para Docker ressalta a necessidade de a comunidade de pesquisa continuar seu trabalho valioso para auxiliar os defensores. Os atacantes continuam em vantagem, muitas vezes aproveitando ameaças ou vulnerabilidades conhecidas e modificando-as apenas o suficiente para escapar da detecção ou, pior, se preparar para causar ainda mais danos no futuro.
Os pesquisadores mostraram que os atacantes podem obter controle significativo sobre sistemas afetados por APIs abusadas. A importância de segmentar redes, limitar a exposição de serviços à internet e proteger credenciais padrão não pode ser subestimada. Ao adotar essas medidas, as organizações podem reduzir significativamente sua vulnerabilidade a tais ameaças. A Akamai afirmou que continua monitorando e relatando descobertas de incidentes para proteção da comunidade de segurança em geral.
