Üç büyük ölçekli kampanya, 2021'in başından beri kötü amaçlı yazılım ve kimlik avı sitelerini iten milyonlarca depo ekerek Docker Hub kullanıcısını hedefledi.
JFrog Security Araştırmacılarının bulduğu gibi, Docker Hub tarafından barındırılan 15 milyon deposun yaklaşık% 20'si, spam'den tehlikeli kötü amaçlı yazılımlara ve kimlik avı sitelerine kadar kötü niyetli içerik içeriyordu.
Araştırmacılar, bir Kubernetes kümesi veya bir Docker motoru kullanılarak çalıştırılamayan ve yaklaşık 2.81 milyona üç büyük kötü amaçlı kampanyaya bağlanan bir Docker görüntüsü içermeyen yaklaşık 4,6 milyon depo keşfettiler.
Bu kampanyaların her biri kötü amaçlı depoları oluşturmak ve dağıtmak için farklı taktikler kullandı. "İndirici" ve "e -kitap kimlik avı" kampanyaları partiler halinde sahte depolar oluştururken, "web sitesi SEO" kampanyası günde birkaç depo oluşturdu ve depo başına tek bir kullanıcı kullandı.
"İndirici" kampanyası, Pirated İçeriği Tanıtan SEO metnine veya video oyunları ve yazılıma bağlantılar için hileler ile otomatik olarak oluşturulan metinler içeriyordu.
Jfrog, "Bu kampanya iki farklı turda (2021 ve 2023 dolaylarında) faaliyet gösterdi ve her iki tur da tam olarak aynı kötü amaçlı yükü kullandı, çoğu antivirüs motorunun jenerik bir truva atı tespit ettiği kötü niyetli bir yürütülebilir." Dedi.
Yürütüldüğünde, Malware Boad It Pushed, kullanıcıdan reklamı yapılan yazılımı indirmesini ve yüklemesini isteyen bir kurulum iletişim kutusu görüntüler. Bununla birlikte, bunun yerine tüm kötü niyetli ikili dosyaları tekliften indirecek ve kalıcı infazlarını şimdi uzlaştırılmış sistemde planlayacaktır.
JFrog, bunun daha büyük bir kötü amaçlı yazılım işleminin parçası olabileceğinden şüpheleniyor, bu da üçüncü taraf yazılımı yükledikten sonra enfekte olan cihazları hedefleyen reklam yazılımı veya para kazanma planları içerebilecek.
"E -kitap kimlik avı" kampanyası, ücretsiz e -kitap indirmeleri sunan ve rastgele oluşturulan açıklamalar ve indirme URL'leri içeren yaklaşık bir milyon depo oluşturdu. Bir e -kitabın tam ücretsiz bir sürümünü vaat ettikten sonra, web sitesi hedefleri bir kimlik avı açılış sayfasına yönlendirir ve kredi kartı bilgilerini girmelerini istemektedir.
Önceki iki kampanyanın aksine, "web sitesi SEO" kampanyasının amacı belirsizdir. İçerik çoğunlukla zararsız olsa da, tüm depoların aynı adı vardır: "Web Sitesi".
Jfrog, "Kampanyanın gerçekten kötü niyetli kampanyaları yürürlüğe koymadan önce bir tür stres testi olarak kullanılması mümkündür." Dedi.
Büyük kampanyalara ek olarak, öncelikle spam ve SEO içeriğini itmeye odaklanan diğer kampanyalarda 1000'den az pakete sahip daha küçük depolar oluşturuldu.
Jfrog, Docker güvenlik ekibini, kötü niyetli veya istenmeyen içerik barındırdığından şüphelenen 3.2 milyon depo içeren bulgularını uyardı. Docker o zamandan beri tüm depoları Docker Hub'dan çıkardı.
Jfrog, "Geliştiricileri ve kuruluşları doğrudan hedefleyen tipik saldırıların aksine, bu davadaki saldırganlar Docker Hub'ın platform güvenilirliğinden yararlanarak kimlik avı ve kötü amaçlı yazılım kurulum girişimlerini belirlemeyi zorlaştırdı."
"Bazıları üç yıldan fazla bir süredir aktif olan neredeyse üç milyon kötü niyetli depo, saldırganların Docker Hub platformunun sürekli kötüye kullanılması ve bu tür platformlarda sürekli ılımlılık ihtiyacını vurguluyor."
Yeni Latrodectus kötü amaçlı yazılım saldırıları Microsoft, Cloudflare temalarını kullanıyor
Chrome Enterprise premium güvenlik alır ancak bunun için ödeme yapmanız gerekir
Visa, finansal kuruluşları hedefleyen yeni JSoutProx kötü amaçlı yazılım varyantını uyarıyor
Yeni mürekkep balığı kötü amaçlı yazılım, kimlik bilgileri için trafiği izlemek için yönlendiricileri enfekte eder
Yeni Wpeeper Android kötü amaçlı yazılım, hacklenen WordPress sitelerinin arkasına saklanıyor
Kaynak: Bleeping Computer