Uzmanlar, popüler veritabanı deposu Docker Hub’da barındırılan binden fazla kapsayıcı görüntüsünün kötü amaçlı olduğu ve kullanıcıları siber saldırı riskine soktuğu konusunda uyardı.
Sysdig’in bir raporuna göre, görüntüler kripto madencileri, arka kapılar ve DNS korsanları gibi hain varlıklar içeriyordu.
Konteyner görüntüleri, belirli özellikleri yeniden kullanırken sıfırdan başlamak zorunda kalmadan, uygulamaları hızlı ve kolay bir şekilde oluşturmak için temel olarak şablonlardır. Docker Hub, kullanıcıların bu görüntüleri kendi halk kitaplığına yüklemesine ve buradan indirmesine olanak tanır.
Kötü amaçlı yazılım türleri
Docker Library Project, görüntüleri inceler ve güvenilir bulduklarını doğrular, ancak doğrulanmamış pek çok şey vardır. Sysdig, çeyrek milyon doğrulanmamış Linux görüntüsünü otomatik olarak taradı ve 1.652’nin zararlı öğeleri gizlediğini buldu.
Kripto madenciliği, taranan görüntülerin 608’inde bulunan en yaygın kötü amaçlı implant türüydü. Ardından, AWS kimlik bilgileri, SSH anahtarları, GitHub ve NPM belirteçleri gibi gömülü sırlar geldi. Bunlar görüntülerin 208’inde bulundu.
Sysdig, bu katıştırılmış anahtarların şu anlama geldiğini yorumladı: “Saldırgan, kap dağıtıldıktan sonra erişim elde edebilir… uzak bir sunucuya bir genel anahtar yüklemek, karşılık gelen özel anahtarın sahiplerinin bir kabuk açmasına ve yerleştirmeye benzer şekilde, SSH aracılığıyla komutları çalıştırmasına olanak tanır. bir arka kapı.”
Typosquatting, tehlikeye atılan görüntülerde tehdit aktörleri tarafından kullanılan popüler ve başarılı bir taktikti – potansiyel kurbanların bunun yerine sahte sürümlerini fark etmeyeceği ve indirmeyeceği umuduyla popüler ve güvenilir görüntülerin biraz yanlış yazılmış sürümleri.
Gerçekten de, en az 17.000 kez çalıştı, çünkü bu, iki yazım yanlışı yapılmış Linux görüntüsünün birleşik indirme sayısıydı.
Sysdig, bu yıl halk kütüphanesinden çekilen görüntülerin sayısında %15’lik bir artış olduğunu iddia ediyor, bu nedenle sorun yakın zamanda ortadan kalkmayacak gibi görünüyor.
