Docker nel mirino: Akamai scopre una nuova campagna malware che sfrutta API esposte

Di
Redazione Data Manager Online
-
Docker nel mirino: Akamai scopre una nuova campagna malware che sfrutta API esposte

Il team di ricerca Akamai Hunt ha individuato una nuova e sofisticata campagna di malware che prende di mira le API Docker esposte a internet, mostrando capacità di infezione e diffusione più avanzate rispetto alle varianti precedentemente osservate.

Il malware, originariamente segnalato a giugno 2025 da Trend Micro, era stato utilizzato per distribuire un cryptominer mascherando le comunicazioni tramite Tor. La nuova variante scoperta da Akamai introduce però un cambio di passo significativo: invece di limitarsi al mining, il codice malevolo implementa tecniche di persistenza e di esclusione degli altri attaccanti, bloccando l’accesso alle API Docker compromesse per garantirsi il controllo esclusivo della macchina infetta.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Le analisi condotte dal team Hunt hanno rivelato che il malware non si limita a colpire container vulnerabili, ma può installare strumenti di scansione, propagarsi a nuovi obiettivi e persino preparare il terreno per la creazione di una botnet più complessa. Tra le funzionalità rilevate:

  • utilizzo di masscan per identificare ulteriori Docker API esposte
  • blocco automatico della porta 2375 per prevenire accessi concorrenti
  • tentativi di sfruttamento su altre porte critiche, come Telnet (23) e il debugger remoto di Chrome (9222)
  • capacità di connessione e comunicazione con server nascosti su rete Tor

Per contrastare minacce di questo tipo, Akamai raccomanda alle organizzazioni alcune misure fondamentali:

  • segmentare la rete e isolare i servizi Docker da quelli esposti pubblicamente
  • limitare l’accesso da internet solo ai servizi strettamente necessari
  • utilizzare password robuste e cambiare le credenziali predefinite sui dispositivi
  • proteggere con attenzione porte sensibili come la 9222 di Chrome

L’attività del team Hunt conferma ancora una volta l’importanza del monitoraggio proattivo e della threat intelligence basata su scenari reali. Attraverso la propria rete di honeypot distribuiti globalmente, Akamai continua a intercettare le più recenti tecniche e strumenti degli attaccanti, fornendo ai clienti difese aggiornate e tempestive.

Leggi anche:  Perché Zero Trust è la chiave per ridurre il rischio assicurativo informatico