Atores de ameaças estão abusando dos repositórios do Docker Hub para fazer upload de contêineres maliciosos que podem ajudá-los a minerar criptomoedas e incorporar arquivos secretos com suporte a backdoors, sequestradores de DNS e redirecionadores de sites.
A última descoberta
Os pesquisadores da Sysdig realizaram uma análise de mais de 250.000 imagens não verificadas do Linux com base em várias categorias e encontraram 1.652 delas contendo conteúdo nefasto.
- O tipo de conteúdo foi categorizado como criptomineração (608), segredos incorporados (281), prevenção de proxy (266), domínios recém-registrados (134), sites maliciosos (129), hacking (38), DNS dinâmico (33) e outros (288).
- Com base no tipo de segredo vazado, essas imagens são subcategorizadas como chaves SSH (155), credenciais da AWS (146), tokens GitHub (134), tokens NPM (24) e outros (78).
Como funciona?
- O tamanho da biblioteca pública do Docker Hub é enorme, portanto, seus operadores não podem examinar todos os uploads diariamente. Devido a isso, muitas imagens maliciosas não são denunciadas.
- Essas imagens maliciosas usavam typosquatting para representar imagens legítimas e confiáveis para infectar usuários com criptomineradores, como XMRig.
- Embora os agentes de ameaças tenham usado nomes de usuários diferentes para publicar essas imagens, os pesquisadores sugerem que eles provavelmente pertencem ao mesmo agente de ameaças ou estão seguindo o mesmo conjunto de instruções.
Ataques recentes no Docker
- No início deste mês, uma nova campanha de criptojacking chamada Kiss-a-Dog foi observada visando infraestrutura de nuvem vulnerável, incluindo servidores Docker e Kubernetes mal protegidos.
- Em setembro, o malware Kinsing foi visto aproveitando as falhas de segurança no WebLogic Server, visando ambientes de contêiner por meio de portas abertas do Docker Daemon API mal configuradas.
Conclusão
O abuso de contêineres do Docker disponíveis publicamente apresenta riscos
graves para usuários desavisados. Os hackers implantam imagens carregadas de malware em contêineres hospedados localmente ou baseados em nuvem enquanto escondem algo flagrante em suas camadas. Tendo em mente os problemas de segurança relacionados ao contêiner, recomenda-se que os usuários sejam extremamente cautelosos ao fazer o download de qualquer coisa e impliquem mecanismos automatizados de atualização de segurança para segurança e precauções.
12 thoughts on “Hackers abusam dos repositórios do Docker Hub para disfarçar contêineres maliciosos.”
Comments are closed.