Halka açık 1.600'den fazla Docker Hub görüntüsü, kripto para madencileri, arka kapı, DNS korsanları ve web sitesi yönlendiricileri olarak kullanılabilecek gömülü sırlar da dahil olmak üzere kötü niyetli davranışları gizler.
Docker Hub, insanların Docker görüntülerini serbestçe aramasına ve indirmelerine veya kreasyonlarını halk kütüphanesine veya kişisel depolara yüklemelerine olanak tanıyan bulut tabanlı bir konteyner kütüphanesidir.
Docker görüntüleri, kullanıma hazır kod ve uygulamalar içeren kapların hızlı ve kolay oluşturulması için şablonlardır. Bu nedenle, yeni örnekler ayarlamak isteyenler, kolayca dağıtılabilir bir uygulama bulmak için genellikle Docker Hub'a yönelir.
Ne yazık ki, hizmetin tehdit aktörleri tarafından kötüye kullanılması nedeniyle, binden fazla kötü amaçlı yükleme, yerel olarak barındırılan veya bulut tabanlı kaplara kötü amaçlı yazılım yüklü görüntüler kullanan şüphesiz kullanıcılara ciddi riskler getiriyor.
Birçok kötü niyetli görüntü, onları popüler ve güvenilir projeler olarak gizleyen isimleri kullanıyor, bu nedenle tehdit aktörleri kullanıcıları indirmeye kandırmak için onları açıkça yüklediler.
SYSDIG'deki araştırmacılar, sorunun ölçeğini değerlendirmeye çalışarak konuyu incelediler ve bir tür kötü amaçlı kod veya mekanizma içeren bulunan görüntüleri bildirdiler.
Güvenilir olduğu doğrulanan Docker Kütüphanesi projesi tarafından gözden geçirilen görüntülerin yanı sıra, bilinmeyen bir statüye sahip yüz binlerce görüntü hizmette.
Sysdig, otomatik tarayıcılarını 250.000 doğrulanmamış Linux görüntüsünü incelemek için kullandı ve 1.652'sini kötü niyetli olarak tanımladı.
En büyük kategori, 608 konteyner görüntülerinde bulunan kripto-minörlerdi ve sunucu kaynaklarını tehdit aktörleri için kripto para birimini hazırlamaya hedefliyor.
En yaygın ikinci olay, 281 vakayı ölçen gömülü sırları gizleyen görüntülerdi. Bu görüntülere gömülü sırlar SSH tuşları, AWS kimlik bilgileri, GitHub jetonları, NPM jetonları ve diğerleridir.
Sysdig, bu sırların yanlışlıkla kamuya açık görüntülerde bırakılmış olabileceğini veya bunları yaratan ve yükleyen tehdit aktörü tarafından kasıtlı olarak enjekte edilmiş olabileceğini söylüyor.
Raporda Sysdig, “Konteynere bir SSH tuşunu veya bir API tuşunu yerleştirerek, konteyner konuşlandırıldıktan sonra saldırgan erişim sağlayabilir” diye uyarıyor.
“Örneğin, uzak bir sunucuya genel bir anahtar yüklemek, ilgili özel anahtar sahiplerinin bir arka kapıyı implante etmeye benzer şekilde SSH üzerinden bir kabuk açmasını ve komutları çalıştırmasını sağlar.”
Sysdig tarafından keşfedilen birçok kötü niyetli görüntü, sadece kripto-minörlerle kullanıcıları enfekte etmek için meşru ve güvenilir görüntüleri taklit etmek için yazım hatası kullandı.
Bu taktik, yaklaşık 17.000 kez indirilmiş olan iki örnek gibi, son derece başarılı bazı durumlar için zemin hazırlıyor.
TypoSquatting ayrıca, popüler bir projenin adını yanlış yazan kullanıcıların kötü niyetli bir görüntü indirmesini sağlar, bu nedenle bu büyük kurban sayıları üretmezken, yine de istikrarlı bir enfeksiyon akışı sağlar.
Sysdig, 2022'de Docker Hub'dan çekilen tüm görüntülerin% 61'inin kamu depolarından geldiğini, 2021 istatistiklerinden% 15'lik bir artış olduğunu, bu nedenle kullanıcılar riskinin arttığını söylüyor.
Ne yazık ki, Docker Hub Halk Kütüphanesi'nin boyutu, operatörlerinin tüm yüklemeleri günlük olarak incelemesine izin vermez; Bu nedenle birçok kötü niyetli görüntü bildirilmez.
Sysdig ayrıca, çoğu tehdit aktörünün sadece birkaç kötü niyetli görüntü yüklediğini fark etti, bu nedenle riskli bir görüntü kaldırılsa ve yükleyici yasaklansa bile, platformun tehdit manzarasını önemli ölçüde etkilemez.
Sahte MSI Afterburner, Windows oyuncularını madencilerle, info-steeters ile hedefliyor
ABD Hükümeti: İranlı korsanlar Log4shell istismarını kullanarak federal ajansı ihlal etti
Yeni açık kaynaklı araç, sırlar için kamu aws s3 kovalarını tarar
Yeni Kaos Kötü Yazılım Windows, DDOS saldırıları için Linux Cihazları Enfekte
Kaynak: Bleeping Computer