HomeNews* Los atacantes están explotando APIs de Docker mal configuradas para minar criptomonedas en entornos de nube.
Utilizan la red Tor para ocultar sus actividades mientras despliegan mineros de criptomonedas.
Los atacantes obtienen acceso, crean nuevos contenedores y montan directorios críticos del sistema, arriesgando escapes de contenedores.
El ataque implica instalar herramientas y scripts para establecer acceso remoto, recopilar datos e instalar el minero XMRig.
Hallazgos recientes muestran cientos de credenciales filtradas en repositorios de código públicos, exponiendo a las empresas a un mayor riesgo.
Una campaña activa está apuntando a instancias de Docker mal configuradas para minar criptomonedas en secreto, según los hallazgos de los investigadores de Trend Micro publicados en junio de 2025. Los atacantes supuestamente explotan APIs de Docker mal configuradas, utilizando la red Tor para permanecer en el anonimato mientras implementan herramientas de minería de criptomonedas en contenedores vulnerables alojados en la nube.
Anuncio - Los investigadores observaron que el ataque generalmente comienza con una solicitud a la API de Docker para recuperar una lista de contenedores en el host. Si no existen contenedores, los atacantes crean un nuevo contenedor utilizando la imagen "alpine" y montan el directorio raíz del sistema host como un volumen compartido. Este paso puede permitir a los atacantes eludir la aislamiento de contenedores y acceder a archivos en la máquina host, aumentando el riesgo de un compromiso más amplio del sistema.
Trend Micro afirma que después de establecer un nuevo contenedor, los atacantes ejecutan un script de shell codificado en Base64 para instalar Tor dentro del contenedor. Luego descargan y ejecutan un script remoto alojado en una dirección .onion, utilizando herramientas y configuraciones como "socks5h" para enrutar todo el tráfico a través de Tor. Según los investigadores, "Refleja una táctica común utilizada por los atacantes para ocultar la infraestructura de comando y control (C&C), evitar la detección y entregar Malware o mineros dentro de entornos en la nube o contenedores comprometidos," añadiendo que este método complica los esfuerzos para rastrear el origen del ataque.
Una vez que se configura el entorno, los atacantes despliegan un script de shell llamado "docker-init.sh". Este script comprueba si el directorio "/hostroot" está montado, cambia las configuraciones SSH para habilitar los inicios de sesión raíz y agrega la clave SSH de un atacante para el acceso futuro. Se instalan herramientas adicionales, como masscan y torsocks, que permiten a los atacantes escanear las redes y evadir aún más la detección. El ataque culmina con la instalación de un minero de criptomonedas XMRig, configurado con direcciones de billetera y grupos de minería controlados por los actores de amenazas.
Trend Micro señala que esta actividad se dirige principalmente a los sectores tecnológico, financiero y sanitario. La compañía también destaca un riesgo de seguridad relacionado después de que Wiz descubriera que cientos de credenciales confidenciales han aparecido en repositorios públicos, incluidos archivos en cuadernos de Python y archivos de configuración de aplicaciones, con organizaciones afectadas que van desde nuevas empresas hasta empresas Fortune 100. Los investigadores advierten que los resultados de la ejecución de código en cuadernos compartidos de Python pueden revelar información valiosa a los atacantes capaces de vincularla a sus fuentes.
La tendencia subraya la importancia de asegurar los entornos de nube y contenedores, especialmente a medida que los atacantes continúan automatizando exploits y buscan credenciales expuestas en repositorios de código públicos.
Artículos Anteriores:
Mastercard se une a la Red Global de Dólares de Paxos para impulsar las stablecoins
Los mercados de criptomonedas se recuperan mientras Trump media en un alto el fuego entre Irán e Israel
La Reserva Federal elimina el ‘riesgo reputacional’ en la supervisión bancaria
Funcionarios de Fort Myers intensifican la lucha contra el aumento de estafas de cajeros automáticos de criptomonedas dirigidas a los ancianos
ETH salta un 8% después de que Trump anuncia un alto el fuego entre Israel e Irán
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
Los atacantes abusan de las APIs de Docker y Tor para lanzar criptominería en la nube
HomeNews* Los atacantes están explotando APIs de Docker mal configuradas para minar criptomonedas en entornos de nube.
Trend Micro afirma que después de establecer un nuevo contenedor, los atacantes ejecutan un script de shell codificado en Base64 para instalar Tor dentro del contenedor. Luego descargan y ejecutan un script remoto alojado en una dirección .onion, utilizando herramientas y configuraciones como "socks5h" para enrutar todo el tráfico a través de Tor. Según los investigadores, "Refleja una táctica común utilizada por los atacantes para ocultar la infraestructura de comando y control (C&C), evitar la detección y entregar Malware o mineros dentro de entornos en la nube o contenedores comprometidos," añadiendo que este método complica los esfuerzos para rastrear el origen del ataque.
Una vez que se configura el entorno, los atacantes despliegan un script de shell llamado "docker-init.sh". Este script comprueba si el directorio "/hostroot" está montado, cambia las configuraciones SSH para habilitar los inicios de sesión raíz y agrega la clave SSH de un atacante para el acceso futuro. Se instalan herramientas adicionales, como masscan y torsocks, que permiten a los atacantes escanear las redes y evadir aún más la detección. El ataque culmina con la instalación de un minero de criptomonedas XMRig, configurado con direcciones de billetera y grupos de minería controlados por los actores de amenazas.
Trend Micro señala que esta actividad se dirige principalmente a los sectores tecnológico, financiero y sanitario. La compañía también destaca un riesgo de seguridad relacionado después de que Wiz descubriera que cientos de credenciales confidenciales han aparecido en repositorios públicos, incluidos archivos en cuadernos de Python y archivos de configuración de aplicaciones, con organizaciones afectadas que van desde nuevas empresas hasta empresas Fortune 100. Los investigadores advierten que los resultados de la ejecución de código en cuadernos compartidos de Python pueden revelar información valiosa a los atacantes capaces de vincularla a sus fuentes.
La tendencia subraya la importancia de asegurar los entornos de nube y contenedores, especialmente a medida que los atacantes continúan automatizando exploits y buscan credenciales expuestas en repositorios de código públicos.
Artículos Anteriores: