Containers sob ataque: fugas, supply chain e clusters Kubernetes na mira
Aprofundamento CEVIU
Aprofundamento
Em ambientes corporativos, a segurança de containers deixou de ser um problema técnico isolado e virou uma questão estratégica de governança de nuvem. A cada novo ataque, como o comprometimento de imagens Docker do Checkmarx KICS ou a campanha TrapDoor em pacotes npm/PyPI, o risco se desloca do desenvolvedor para o arquiteto de sistemas: um único binário infectado pode propagar credenciais roubadas para clusters AKS em menos de 18 minutos após a criação. Isso expõe falhas estruturais na cadeia de suprimentos, mas também revela que 45% dos incidentes em Kubernetes vêm de configurações incorretas, não de código malicioso, RBAC frouxo, pods executando como root, ou tokens de conta de serviço expostos por anotações em Ingress. Para CISOs e líderes de infraestrutura, isso significa que proteger o pipeline CI/CD (como destacado em nossa cobertura do MITRE para GitHub) é tão importante quanto auditar políticas de rede em tempo real.
O cenário piora quando se considera a convergência entre vetores: um ataque à supply chain pode injetar um payload que só se ativa em runtime, explorando CVEs como a React2Shell (2025) ou a falha no Kubernetes Image Builder (CVE-2024-9486), onde credenciais padrão persistem em imagens Proxmox. Não basta escanear imagens antes do deploy, é preciso monitorar comportamento anômalo durante a execução, validar assinaturas de artefatos *e* restringir privilégios no host. A Gartner já alerta: até 2025, 99% das violações em nuvem serão causadas por erro humano na configuração, não por falhas de software.
O que mudou
A notícia atual confirma o que era rumor há dois meses: ataques em múltiplos estágios não são exceção, mas padrão operacional. Em maio, reportamos o ataque TrapDoor como uma ameaça a estações de trabalho; agora, vemos sua integração direta com ambientes containerizados, as mesmas imagens Docker contaminadas do Checkmarx KICS (3/6) estão sendo usadas para injetar mcpAddon.js em pipelines que constroem containers para Kubernetes. Também evoluiu a exploração de APIs de orquestração: enquanto em 27/5 focávamos em GitHub Actions, hoje os invasores manipulam diretamente endpoints da API do kube-apiserver via tokens de conta de serviço roubados, observados em 22% dos ambientes em 2025. O que era teórico na modelagem de ameaças MITRE virou rotina operacional.
Por que isso importa
Para empresas que adotaram Kubernetes em produção, essa onda de ataques não é só sobre detecção, é sobre custo operacional e compliance. Um único cluster EKS comprometido em 28 minutos pode exfiltrar segredos de toda a infraestrutura de nuvem, invalidando auditorias de LGPD e ISO 27001. A adoção cega de imagens base não verificadas ou a ausência de admission control (como OPA Gatekeeper) aumenta o risco de fugas de container que escalonam para acesso ao host, o que transforma um incidente de segurança em incidente de continuidade operacional. Arquitetos de TI precisam priorizar três frentes: validação contínua de assinatura de artefatos (Sigstore), política de mínimos privilégios em tempo de execução (como seccomp e AppArmor) e segregação de clusters por criticidade, não apenas por ambiente (dev/staging/prod), mas por tipo de carga (dados sensíveis x workloads públicos).
Linha do tempo
Campanha TrapDoor contamina 34 pacotes em npm, PyPI e Crates.io, roubando chaves SSH e credenciais de nuvem
Ataque à supply chain compromete 233 versões de pacotes Laravel-Lang via manipulação de tags no GitHub
Pesquisadores da Socket detalham impacto da TrapDoor em estações de trabalho de desenvolvedores
CEVIU publica análise de ameaças em pipelines CI/CD com matriz MITRE para SCM, CI e deploy
Novo relatório aponta fugas de container, abuso de APIs de orquestração e ataques combinados à supply chain como vetores principais contra clusters Kubernetes
Perguntas frequentes
Como identificar se meu cluster Kubernetes já foi alvo de roubo de tokens de conta de serviço?
Verifique logs do kube-apiserver para requisições GET em /api/v1/serviceaccounts, especialmente de IPs externos ou de namespaces incomuns. Use ferramentas como kubectl auth can-i --list para listar permissões de contas de serviço e busque por tokens com escopo amplo (como 'cluster-admin'). Monitorar atividades suspeitas com ferramentas como Falco ou Aqua CSPM também ajuda.
É seguro usar imagens Docker do Docker Hub sem verificação adicional?
Não. Imagens não oficiais ou sem assinatura digital podem conter payloads maliciosos, como visto no caso do Checkmarx KICS. Empresas devem exigir assinatura com Cosign, verificar proveniência com Notary v2 e manter um catálogo interno de imagens aprovadas, bloqueando automaticamente qualquer imagem não listada.
Qual a diferença prática entre uma fuga de container e um ataque à supply chain em Kubernetes?
Uma fuga de container explora falhas de isolamento (ex.: CVE-2024-7598) para acessar o nó host, é um problema de runtime e configuração. Um ataque à supply chain começa muito antes: na construção da imagem ou no pipeline CI/CD, como o envenenamento de extensões VS Code ou pacotes PyPI. A primeira compromete infraestrutura; a segunda compromete confiança no processo de entrega.
O que posso fazer hoje, sem mudar minha stack, para reduzir o risco de fugas de container?
Desative privilégios elevados em todos os pods com 'securityContext.runAsNonRoot: true' e 'allowPrivilegeEscalation: false'. Restrinja capabilities com 'drop: [ALL]'. Use PodSecurityPolicy ou Pod Security Admission (PSA) com nível 'restricted'. Evite montar volumes de host em pods não críticos, 78% das fugas analisadas em 2024 envolviam acesso indevido a /proc ou /host/sys.
Fontes
- securelist.comfonte original
- Categoria
- CEVIU TI
- Publicado
- 02 de junho de 2026
- Editoria
- CEVIU TI
