Über tausend Container-Images, die auf dem beliebten Datenbank-Repository Docker Hub gehostet werden, sind bösartig und setzen Benutzer dem Risiko eines Cyberangriffs aus, warnen Experten.
Laut einem Bericht von Sysdig enthielten die Bilder schändliche Assets wie Cryptominer, Backdoors und DNS-Hijacker.
Container-Images sind im Wesentlichen Vorlagen zum schnellen und einfachen Erstellen von Anwendungen, ohne bei der Wiederverwendung bestimmter Funktionen bei Null anfangen zu müssen. Docker Hub ermöglicht es Benutzern, diese Bilder in und aus seiner öffentlichen Bibliothek hoch- und herunterzuladen.
Arten von Malware
Das Docker-Bibliotheksprojekt überprüft Bilder und verifiziert diejenigen, die es für vertrauenswürdig hält, aber es gibt viele, die noch nicht verifiziert sind. Sysdig hat automatisch eine Viertelmillion unverifizierter Linux-Images gescannt und festgestellt, dass 1.652 schädliche Elemente verbergen.
Cryptomining war die häufigste Art von bösartigem Implantat, das in 608 seiner gescannten Bilder vorhanden war. Als nächstes kamen eingebettete Geheimnisse wie AWS-Anmeldeinformationen, SSH-Schlüssel, GitHub- und NPM-Token. Diese wurden in 208 der Bilder gefunden.
Sysdig kommentierte, dass diese eingebetteten Schlüssel Folgendes bedeuten: „Der Angreifer kann sich Zugriff verschaffen, sobald der Container bereitgestellt ist … Das Hochladen eines öffentlichen Schlüssels auf einen Remote-Server ermöglicht es den Besitzern des entsprechenden privaten Schlüssels, eine Shell zu öffnen und Befehle über SSH auszuführen, ähnlich wie beim Implantieren eine Hintertür.”
Typosquatting war eine beliebte und erfolgreiche Taktik, die von Bedrohungsakteuren in den kompromittierten Bildern angewendet wurde – leicht falsch geschriebene Versionen beliebter und vertrauenswürdiger Bilder in der Hoffnung, dass potenzielle Opfer es nicht bemerken und stattdessen ihre betrügerische Version herunterladen.
Tatsächlich hat es mindestens 17.000 Mal funktioniert, da dies die kombinierte Anzahl von Downloads von zwei typosquatierten Linux-Images war.
Sysdig behauptet, dass die Menge der Bilder, die aus der öffentlichen Bibliothek abgerufen werden, in diesem Jahr um 15 % gestiegen ist, also sieht es so aus, als würde das Problem nicht so schnell verschwinden.