Pesquisadores detectaram uma campanha em curso voltada à exploração de servidores que utilizam o Docker com configurações inseguras. Os atacantes buscam hosts com a porta 2375 exposta, permitindo a execução remota de containers que instalam mineradores de criptomoedas, operando silenciosamente em segundo plano.
A técnica utilizada explora a ausência de autenticação na API do Docker exposta à internet. Com isso, os criminosos conseguem implantar imagens maliciosas, configurar persistência via cron jobs e até alterar regras de firewall para manter o controle do ambiente. Os alvos principais são empresas de pequeno e médio porte que utilizam ambientes em nuvem sem a devida segmentação e controle de acesso.
A infraestrutura usada pelos atacantes é dinâmica e distribuída entre VPSs anônimos, dificultando o rastreamento e a contenção dos ataques. A campanha tem causado lentidão e sobrecarga em ambientes afetados, com impacto direto no desempenho de aplicações e serviços. Especialistas recomendam desabilitar o acesso público à API do Docker, aplicar autenticação mTLS, e auditar periodicamente os containers em execução. A adoção massiva de containers, sem medidas de segurança equivalentes, tem tornado esse tipo de ataque cada vez mais comum.
