Sabe aquela velha prática de deixar a API do Docker exposta “só por um tempo”? Pois é, os criminosos estão agradecendo. Pesquisadores da Akamai identificaram uma nova variante de campanha de cryptojacking via rede TOR, explorando instâncias Docker mal configuradas para transformar máquinas vulneráveis em minas de criptomoedas e, pior, em nós de botnets.
Esse tipo de ataque não é novidade, mas o nível de automação, anonimato e persistência subiu de patamar. Com uso intenso de .onion, containers Alpine e payloads codificados em Base64, o invasor faz tudo que precisa sem deixar rastros visíveis para ferramentas comuns.
Como o ataque acontece: TOR, shell script e mineração
A operação começa quando o atacante encontra uma API Docker exposta na internet (porta 2375). A partir daí, ele sobe um container baseado na imagem Alpine, monta o sistema de arquivos do host, injeta um payload codificado em Base64, e baixa um script malicioso direto de um domínio .onion.
Esse script é o coração da operação. Ele altera configurações de SSH para garantir persistência, instala ferramentas como masscan, libpcap e torsocks, faz varredura da rede e baixa um binário compactado de outro domínio anônimo na dark web.
Resultado? O sistema vira um zumbi operando nas sombras, minerando criptomoeda e procurando novas vítimas com a mesma vulnerabilidade.
Malware inteligente demais para ser ignorado
Um detalhe curioso (e perturbador) foi encontrado no código do dropper: ele usa emojis para identificar usuários logados. Segundo os pesquisadores, isso indica uso de modelos de linguagem para gerar parte do código. Estamos entrando na era do malware com toque de IA mais difícil de prever, mais difícil de detectar.
Depois de implantado, o malware executa masscan para encontrar novas APIs Docker abertas e repete todo o processo. E tem mais: apesar de atualmente só escanear a porta 2375, o código já traz lógica para também atacar via porta 23 (Telnet) e porta 9222 (debug remoto do Chromium). Hoje não funciona, mas a funcionalidade já está no forno.
Riscos além da mineração: botnet e roubo de dados
Não se trata apenas de cryptojacking. Ao explorar o debug remoto do Chrome via biblioteca chromedp, o malware pode acessar sessões ativas do navegador, capturar cookies, dados privados e até se comunicar diretamente com servidores de controle (C2). Tudo isso enquanto sua máquina acredita estar apenas “executando um container”.
Nos testes, ele envia os dados coletados para um endpoint identificado como httpbot/add, levantando suspeitas de que o objetivo final seja construir uma botnet distribuída, capaz de roubo de dados e possíveis ataques DDoS.
Proteger sua API Docker não é mais uma opção
O ataque revela o que muita gente no DevOps e infraestrutura ainda não aprendeu: Docker não foi feito para ficar exposto na internet. Ponto.
A Akamai alertou que a campanha é automatizada, persistente e está em crescimento. Se você tem instâncias Docker rodando em produção com APIs expostas, sua infraestrutura já pode estar minerando criptomoedas para alguém ou pior, servindo de trampolim para comprometer outros sistemas.
