超过 1,600 个公开可用的 Docker Hub 图像隐藏了恶意行为,包括加密货币矿工、可用作后门的嵌入式秘密、DNS 劫持者和网站重定向器。
Docker Hub 是一个基于云的容器库,允许人们自由搜索和下载 Docker 图像,或将他们的作品上传到公共图书馆或个人存储库。
Docker 映像是用于快速轻松地创建包含即用型代码和应用程序的容器的模板。因此,那些希望设置新实例的人通常转向 Docker Hub 以快速找到易于部署的应用程序。
不幸的是,由于威胁行为者滥用服务,超过一千个恶意上传给毫无戒心的用户在本地托管或基于云的容器上部署载有恶意软件的图像带来了严重的风险。
许多恶意图片使用的名称将它们伪装成受欢迎且值得信赖的项目,因此威胁行为者显然上传了它们以诱骗用户下载它们。
Sysdig 的研究人员调查了这个问题,试图评估问题的严重程度,并报告了发现的具有某种形式的恶意代码或机制的图像。
Docker Hub 陷阱
除了经过 Docker Library Project 审核并被验证为可信的镜像外,该服务上还有数十万个状态未知的镜像。
Sysdig 使用其自动扫描器仔细检查了 250,000 个未经验证的 Linux 映像,并将其中的 1,652 个识别为恶意映像。
最大的类别是加密矿工,在 608 个容器映像中发现,它们以服务器资源为目标,为威胁参与者挖掘加密货币。
第二常见的事件是隐藏嵌入式秘密的图像,共发生 281 起。这些图像中嵌入的秘密是 SSH 密钥、AWS 凭证、GitHub 令牌、NPM 令牌等。
Sysdig 评论说,这些秘密可能是错误地留在公共图像上的,或者是由创建和上传它们的威胁者故意注入的。
“通过将 SSH 密钥或 API 密钥嵌入到容器中,攻击者可以在部署容器后获得访问权限,”Sysdig 在 报告中警告说。
“例如,将公钥上传到远程服务器允许相应私钥的所有者打开外壳并通过 SSH 运行命令,类似于植入后门。”
Sysdig 发现的许多恶意图像使用域名仿冒来冒充合法和可信的图像,只是为了让用户感染加密矿工。
这种策略为一些非常成功的案例奠定了基础,例如下面显示的两个示例,它们已被下载近 17,000 次。
Typosquatting 还确保错误输入流行项目名称的用户将下载恶意图像,因此虽然这不会产生大量受害者,但它仍然确保了稳定的感染流。
一个恶化的问题
Sysdig 表示,到 2022 年,从 Docker Hub 提取的所有图像中有 61% 来自公共存储库,比 2021 年的统计数据增加了 15%,因此用户面临的风险正在上升。
不幸的是,Docker Hub 公共图书馆的规模不允许其操作员每天检查所有上传;因此,许多恶意图像未被报告。
Sysdig 还注意到,大多数威胁行为者只上传了一些恶意图像,因此即使删除了有风险的图像并禁止了上传者,也不会显着影响平台的威胁态势。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Docker Hub存储库隐藏了超过1650个恶意容器
