Эксперты компании Sysdig обнаружили, что более 1600 образов в Docker Hub демонстрируют различное вредоносное поведение. В них могут скрываться майнеры криптовалюты, встроенные секреты, которые можно использовать в качестве бэкдоров, малварь для компрометации DNS и редиректоры для сайтов.
Исследователи предупреждают, что все больше злоумышленников злоупотребляют Docker Hub, и более тысячи вредоносных образов представляют серьезную опасность для ничего не подозревающих пользователей. Ведь такие опасные образы в итоге развертываются в локальных или облачных контейнерах.
Отмечается, что многие вредоносные образы используют типосквоттинг, то есть названия, максимально схожие с названиями популярных проектов, то есть злоумышленники явно стремятся вынудить жертв случайно их загрузить. К сожалению, эта тактика неплохо работает, например, благодаря ней, два образа с иллюстрации ниже были загружены почти 17 000 раз.
Отчет экспертов гласит, что помимо образов, проверенных Docker Library Project, сервис содержит сотни тысяч образов с неизвестным статусом. Для их проверки Sysdig использовала автоматизированные сканеры, тщательно изучив 250 000 непроверенных Linux-образов. В итоге вредоносными оказались 1652 из них.
Больше всего в Docker Hub оказались распространены майнеры, которые использовали ресурсы жертв для добычи криптовалюты. Они были обнаружены в 608 образах. На втором месте —образы со встроенными секретами (281 случай). Секреты представляют собой ключи SSH, учетные данные AWS, токены GitHub, токены NPM и так далее. Исследователи пишут, что эти секреты могли быть забыты в коде по ошибке, но также их могли и намеренно внедрить злоумышленники.
«Встраивая ключ SSH или ключ API в контейнер, злоумышленник гарантирует себе доступ после развертывания контейнера. Например, загрузка публичного ключа на удаленный сервер позволяет владельцам соответствующего приватного ключа открывать шелл и выполнять команды через SSH, аналогично с внедрением бэкдора», — пишут аналитики.
В Sysdig резюмируют, что, к сожалению, размер Docker Hub не позволяет операторам сервиса ежедневно и оперативно проверять все загрузки, и из-за этого о многих вредоносных образах попросту не сообщается.