Pesquisadores do DataDog Security Labs descobriram uma campanha de ciberataques que compromete servidores NGINX, redirecionando o tráfego de usuários por meio da infraestrutura do atacante. O NGINX, um software de gerenciamento de tráfego web amplamente utilizado, é alvo de modificações em seus arquivos de configuração, onde blocos maliciosos são injetados. Esses blocos capturam requisições em URLs selecionadas e as redirecionam para domínios controlados pelos atacantes, utilizando a diretiva ‘proxy_pass’, que normalmente é usada para balanceamento de carga e, portanto, não aciona alertas de segurança.
A campanha afeta principalmente instalações do NGINX e painéis de gerenciamento Baota, focando em sites com domínios de nível superior asiáticos e sites governamentais e educacionais. O ataque é realizado em cinco etapas, começando com um script controlador que baixa e executa os demais estágios, que incluem a injeção de configurações e a validação de mudanças. A dificuldade em detectar esses ataques se deve ao fato de que não exploram vulnerabilidades do NGINX, mas sim ocultam instruções maliciosas em arquivos de configuração que raramente são analisados. O tráfego do usuário ainda chega ao destino pretendido, dificultando a percepção do redirecionamento malicioso.
Fonte: https://www.bleepingcomputer.com/news/security/hackers-compromise-nginx-servers-to-redirect-user-traffic/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
05/02/2026 • Risco: ALTO
ATAQUE
Campanha maliciosa compromete servidores NGINX e redireciona tráfego
RESUMO EXECUTIVO
A campanha maliciosa que compromete servidores NGINX representa um risco significativo para organizações que dependem dessa tecnologia. A injeção de configurações maliciosas pode resultar em sérios problemas de segurança e compliance, exigindo atenção imediata dos líderes de segurança.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao redirecionamento de tráfego e comprometimento de dados.
Operacional
Redirecionamento de tráfego de usuários para domínios controlados por atacantes.
Setores vulneráveis
['Governo', 'Educação', 'Tecnologia da Informação']
📊 INDICADORES CHAVE
Campanha afeta domínios com TLDs asiáticos e sites governamentais.
Indicador
Utiliza um toolkit em cinco etapas para realizar as injeções.
Contexto BR
O tráfego do usuário ainda chega ao destino pretendido.
Urgência
⚡ AÇÕES IMEDIATAS
1
Auditar arquivos de configuração do NGINX em busca de alterações não autorizadas.
2
Implementar monitoramento de tráfego e alertas para atividades suspeitas.
3
Monitorar continuamente as configurações do NGINX e o tráfego redirecionado.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas infraestruturas web, especialmente com a crescente utilização do NGINX em ambientes corporativos.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD devido ao redirecionamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
