聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Docker Hub 是一个基于云的容器库,可使人们自由搜索和下载 Docker 镜像或将自己的创作上传到公开库或个人仓库。
Docker 镜像是快速轻易创建包含现成可用代码和应用容器的模板。因此,想要创建新实例的人员通常通过 Docker Hub 快速找到轻松可部署的应用。遗憾的是,由于威胁行动者滥用服务,因此超过1000个恶意上传对在本地托管或基于云的容器上部署含恶意软件镜像的毫不知情的用户带来严重风险。
很多恶意镜像使用特定名称,伪装成热门和可信任项目,因此威胁行动者能够清晰地上传,诱骗用户下载。Sysdig 公司的研究人员尝试评估该问题的影响范围并发现含有某种恶意代码或机制形式的镜像。
除了Docker Library Project 审计的镜像外,服务上存在成千上万个状态未知的镜像。
Sysdig 使用自动扫描器审计了25万个未经认证的 Linux 镜像并找到1652个恶意镜像。其中,最大的恶意镜像是密币挖矿机,存在于608个容器镜像中,攻击者利用服务器资源挖掘密币。第二大最常见的恶意镜像是218个隐藏机密信息的镜像。嵌入这些镜像中的机密是SSH密钥、AWS凭据、GitHub 令牌、NPM令牌等。
Sysdig 公司评论称,这些机密可能是不慎遗留在公开镜像中的,或者是被攻击者创建、上传并故意注入镜像中的。
报告提到,“通过将SSH密钥或API密钥嵌入容器,攻击者可在容器部署后获得访问权限。例如,将公共密钥上传到远程服务器,可导致相关私钥的所有者打开shell 并通过SSH运行命令,类似于植入后门。”很多恶意镜像利用typosquatting 仿冒合法和可信镜像,目的是通过密币挖矿机感染用户。这种技术可引发一些成功攻击案例。这种技术确保错误输入热门项目名称的用户能够下载恶意镜像,虽然无法影响大量受害者,但确保了稳定的感染流。
报告指出,2022年,从Docker Hub 拉取的61%的镜像源自公有仓库,比2021年增长了15%,因此用户面临的风险正在增加。遗憾的是,Docker Hub 公开库的大小不允许其操作者日常审查所有上传,因此很多恶意镜像并未被报告。
报告还提到,多数攻击者仅上传几个恶意镜像,因此即使删除了有风险的镜像且上传者被禁号,但这并不会对该平台的威胁状况造成重大影响。
https://www.bleepingcomputer.com/news/security/docker-hub-repositories-hide-over-1-650-malicious-containers/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~