Эксперты компании Sysdig обнаружили, что более 1600 образов в Docker Hub демонстрируют различное вредоносное поведение. В них могут скрываться майнеры криптовалюты, встроенные секреты, которые можно использовать в качестве бэкдоров, малварь для компрометации DNS и редиректоры для сайтов.

Исследователи предупреждают, что все больше злоумышленников злоупотребляют Docker Hub, и более тысячи вредоносных образов представляют серьезную опасность для ничего не подозревающих пользователей. Ведь такие опасные образы в итоге развертываются в локальных или облачных контейнерах.

Отмечается, что многие вредоносные образы используют типосквоттинг, то есть названия, максимально схожие с названиями популярных проектов, то есть злоумышленники явно стремятся вынудить жертв случайно их загрузить. К сожалению, эта тактика неплохо работает, например, благодаря ней, два образа с иллюстрации ниже были загружены почти 17 000 раз.

Отчет экспертов гласит, что помимо образов, проверенных Docker Library Project, сервис содержит  сотни тысяч образов с неизвестным статусом. Для их проверки Sysdig использовала автоматизированные сканеры, тщательно изучив 250 000 непроверенных Linux-образов. В итоге вредоносными оказались 1652 из них.

Больше всего в Docker Hub оказались распространены майнеры, которые использовали ресурсы жертв для добычи криптовалюты. Они были обнаружены в 608 образах. На втором месте —образы со встроенными секретами (281 случай). Секреты представляют собой ключи SSH, учетные данные AWS, токены GitHub, токены NPM и так далее. Исследователи пишут, что эти секреты могли быть забыты в коде по ошибке, но также их могли и намеренно внедрить злоумышленники.

«Встраивая ключ SSH или ключ API в контейнер, злоумышленник гарантирует себе доступ после развертывания контейнера. Например, загрузка публичного ключа на удаленный сервер позволяет владельцам соответствующего приватного ключа открывать шелл и выполнять команды через SSH, аналогично с внедрением бэкдора», — пишут аналитики.

В Sysdig резюмируют, что, к сожалению, размер Docker Hub не позволяет операторам сервиса ежедневно и оперативно проверять все загрузки, и из-за этого о многих вредоносных образах попросту не сообщается.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии