Основная проблема – встроенные майнеры криптовалют.
Более 1600 общедоступных образов Docker Hub скрывают майнеры криптовалют, бэкдоры, перехватчики DNS и перенаправители веб-сайтов.
Docker Hub — это облачная библиотека контейнеров, позволяющая разработчикам искать и загружать образы Docker или загружать свои творения в общедоступную библиотеку или личные репозитории.
Исследователи из Sysdig изучили проблему , пытаясь оценить масштаб проблемы, и сообщили о найденных образах, которые содержат вредоносный код. Sysdig изучила 250 000 непроверенных образов Linux и идентифицировала 1652 из них как вредоносные.
Типы вредоносных образов на Docker Hub
На первом месте находятся криптомайнеры, обнаруженные в 608 образах, которые использовали ресурсы сервера для майнинга криптовалюты.
Вторым по частоте (281 образ) явлением были образы, в которых встроена «дополнительная информация», например, SSH-ключи, учетные данные AWS, токены GitHub, токены NPM и т.д.
Типы «секретов», встроенных в образах Docker
Sysdig отмечает, что эти данные могли быть оставлены в общедоступных образах по ошибке или намеренно введены злоумышленником. Встраивая SSH-ключ или API-ключ в контейнер, хакер может получить доступ к системе после развертывания контейнера.
Многие вредоносные образы со встроенным криптомайнером использовали технику «Typosquatting», чтобы выдавать себя за доверенные образы.
Образы Docker с опечатками в названии
Sysdig сообщает, что в 2022 году 61% всех образов, извлеченных из Docker Hub, поступят из общедоступных репозиториев, что на 15% больше, чем в 2021 году, поэтому риск для пользователей возрастает.
Размер публичной библиотеки Docker Hub не позволяет ее операторам ежедневно проверять все загрузки, поэтому о многих вредоносных файлах не сообщается. Более того, Sysdig заметил, что большинство злоумышленников загружают пару вредоносных образов, поэтому даже если один образ будет удален, а загрузчик будет забанен, это не окажет существенного влияния на ландшафт угроз.
Одно найти легче, чем другое. Спойлер: это не темная материя