Обнаружено более тысячи образов контейнеров Docker со скрытым вредоносным контентом

Обнаружено более тысячи образов контейнеров Docker со скрытым вредоносным контентом. Фото: СС0

Согласно отчету Sysdig, контейнеры содержали криптомайнеры, бэкдоры и угонщики DNS .

Образы контейнеров — это, по сути, шаблоны для быстрого и простого создания приложений, без необходимости начинать с нуля при повторном использовании определенных функций. Docker Hub позволяет пользователям загружать и скачивать эти образы в свою общедоступную библиотеку и из нее.

Проект Docker Library просматривает образы и проверяет те из них, которые он считает заслуживающими доверия, но многие из них остаются непроверенными. Sysdig автоматически просканировал четверть миллиона непроверенных образов Linux и обнаружил, что 1652 из них содержат вредоносные элементы. 

Криптомайнинг был наиболее распространенным видом вредоносных имплантов, присутствующих в 608 отсканированных образах. Эксперты также обнаружили встроенные встроенные секреты, такие как учетные данные AWS, ключи SSH, токены GitHub и NPM. Они были обнаружены на 208 образах. 

В Sysdig прокомментировали, что эти встроенные ключи означают, что «злоумышленник может открывать оболочку и выполнять команды через SSH, аналогично имплантации.».

Опечатка была популярной и успешной тактикой, используемой злоумышленниками в скомпрометированных образах — версии популярных и надежных образов с небольшими ошибками были опубликованы в надежде, что потенциальные жертвы не заметят этого и вместо легитимной версии загрузят свою мошенническую версию. 

Этот метод работал. Исследователи выяснили, что общее количество загрузок двух образов Linux с опечатками составило не менее 17 тыс. раз.

В Sysdig утверждают, что в этом году количество образ, извлеченных из публичной библиотеки, увеличилось на 15%, поэтому похоже, что проблема не исчезнет в ближайшее время. 

Статьи по теме

• Фонд «Сколково» и «РТК-Солар» объявили победителей всероссийского конкурса по кибербезопасности.
• Новое предложение Azure для малого бизнеса нацелено на преодоление DDoS-атак.
• Google Looker Studio используется для продвижения вредоносных сайтов.
• Хакеры хранят вредоносное ПО в законных облачных сервисах для обхода защиты.