Docker Hub存储库隐藏了超过1,650个恶意容器
据Sysdig研究人员调查显示,超过 1,600 个公开可用的 Docker Hub 映像隐藏了恶意行为,包括加密货币矿工、可用作后门的嵌入式机密、DNS 劫持者和网站重定向器。
Docker Hub 是一个基于云的容器库,允许人们自由搜索和下载 Docker 镜像,或将他们的创作上传到公共库或个人仓库。
Docker镜像是用于快速轻松创建包含现成代码和应用程序的容器的模板。因此,那些希望设置新实例的人通常会转向 Docker Hub 来快速找到易于部署的应用程序。
但由于网络威胁行为者滥用服务,超过1000个恶意上传给在本地托管或基于云的容器中部署恶意软件图像的给完全信赖的用户带来了严重的风险。
许多恶意图像使用名称伪装成流行且值得信赖的项目,所以威胁行为者上传它们显然是为了欺骗用户下载它们。
Sysdig研究人员调查并试图评估问题的严重程度,同时报告了发现的具有某种形式的恶意代码或机制的图像。
Docker Hub陷阱
除了经过Docker Library Project审核的、经过验证是可信的图片外,该服务上还有数十万张状态未知的镜像。
Sysdig仔细扫描检查了250,000个未经验证的Linux镜像,并识别出其中1652个是恶意镜像。
最大的类别是加密矿工,在 608 个容器镜像中发现,目标是服务器资源为威胁参与者挖掘加密货币。
第二常见的是隐藏嵌入秘密的图像,共281个。这些镜像中嵌入的秘密是SSH密钥、AWS凭证、GitHub令牌、NPM令牌等。
Sysdig评论说,这些秘密可能是错误地留在公共图像上,或者是由创建并上传这些图像的威胁行为者故意注入的。
“通过将SSH密钥或API密钥嵌入容器,攻击者可以在部署容器后获得访问权限,”Sysdig在报告中警告说。
例如,将公钥上传到远程服务器,就可以让相应私钥的所有者通过SSH打开shell并运行命令,这与植入后门类似。”
Sysdig 发现的许多恶意图像都使用域名仿冒来冒充合法和受信任的图像,只是为了用加密矿工感染用户。
这种策略为一些非常成功的案例奠定了基础,比如下面的两个例子,它们已经被下载了近17000次。
包含硬币矿工的 Docker 镜像(Sysdig)
域名仿冒还可以确保用户错误输入热门项目的名称将下载恶意图像,因此虽然这不会产生大量受害者,但它仍然可以确保稳定的感染流。
日益恶化的问题
Sysdig 表示,在2022年,从Docker Hub提取的所有图像中有61%来自公共存储库,比2021年的数据上升了15%,因此用户面临的风险正在上升。
然而,Docker Hub公共库的规模不允许其操作员每天仔细检查所有的上传,因此,许多恶意图像没有被报告。
Sysdig还注意到,大多数威胁参与者只上传了几张恶意图像,因此即使删除了有风险的图像并将上传者加入黑名单,也不会对平台的威胁态势产生重大影响。
来源: