Siber güvenlik araştırmacıları birden fazla kampanyanın hedef aldığını keşfetti Docker Merkezi Geçtiğimiz beş yılda milyonlarca kötü amaçlı “görüntüsüz” konteyner yerleştirerek, açık kaynak kayıtlarının tedarik zinciri saldırılarına nasıl yol açabileceğinin altını bir kez daha çizdik.
JFrog güvenlik araştırmacısı Andrey Polkovnichenko, “Docker Hub’daki dört milyondan fazla deponun görüntüsü yoktur ve depo belgeleri dışında hiçbir içeriğe sahip değildir.” söz konusu The Hacker News ile paylaşılan bir raporda.
Dahası, dokümantasyonun konteynerle hiçbir bağlantısı yoktur. Bunun yerine, kullanıcıları kimlik avı veya kötü amaçlı yazılım barındıran web sitelerini ziyaret etmeye teşvik etmek için tasarlanmış bir web sayfasıdır.
Ortaya çıkarılan 4,79 milyon resimsiz Docker Hub deposundan 3,2 milyonunun, üç geniş kampanya kapsamında şüphelenmeyen kullanıcıları sahte sitelere yönlendirmek için açılış sayfaları olarak kullanıldığı söyleniyor:
- Korsan olduğu iddia edilen içeriğe veya video oyunlarına yönelik hilelere yönelik bağlantıların reklamını yapan, ancak ya doğrudan kötü amaçlı kaynaklara ya da sırasıyla JavaScript kodu içeren meşru bir kaynağa bağlantı veren Downloader (2021’in ilk yarısında ve Eylül 2023’te oluşturulan depolar) yönlendirmeler 500 milisaniye sonra kötü amaçlı yüke.
- E-kitap arayan kullanıcıları bir web sitesine (“rd.lesac.ru”) yönlendiren ve ardından e-kitapları indirmek için mali bilgilerini girmeye teşvik eden e-kitap kimlik avı (2021’in ortasında oluşturulan veri havuzları) kitap.
- Bazı durumlarda Penzu adı verilen çevrimiçi günlük barındırma hizmetine bağlantı içeren web sitesi (Nisan 2021’den Ekim 2023’e kadar her gün oluşturulan binlerce veri deposu).
İndirme kampanyasının bir parçası olarak sunulan yük, bir komuta ve kontrol (C2) sunucusuyla iletişim kurmak ve sistem meta verilerini iletmek için tasarlandı; ardından sunucu, kırılmış yazılıma bir bağlantıyla yanıt veriyor.
Öte yandan, kampanyanın aynı zamanda gevşek bir içerik denetleme politikasına sahip sitelerde de yayılması nedeniyle, web sitesi kümesinin kesin hedefi şu anda belirsizdir.
JFrog’un güvenlik araştırmaları kıdemli direktörü Shachar Menashe, “Bu üç kampanyanın en endişe verici yönü, kullanıcıların başlangıçta kendilerini korumak için dikkatli davranmak dışında yapabilecekleri pek bir şeyin olmamasıdır.” dedi. Hacker Haberleri.
“Aslında, bazı durumlarda yapımı üç yıl süren bir kötü amaçlı yazılım oyun alanına bakıyoruz. Bu tehdit aktörleri oldukça motive olmuş durumda ve kurbanları cezbetmek için Docker Hub adının güvenilirliğinin arkasına saklanıyorlar.”
Tehdit aktörlerinin, iyi bilinen kamu hizmetlerini zehirlemek için özenli çabalar sarf ettiği, olayda da görüldüğü gibi, XZ Utils uzlaşmasıgeliştiricilerin açık kaynak ekosistemlerden paket indirme konusunda dikkatli olmaları zorunludur/
Menashe, “Murphy Yasası’nın da belirttiği gibi, eğer bir şey kötü amaçlı yazılım geliştiricileri tarafından istismar edilebilecekse, bu kaçınılmaz olarak olacaktır, bu nedenle bu kampanyaların Docker Hub’dan daha fazla veri havuzunda bulunmasını bekliyoruz” dedi.