Как исследователям удалось раскрыть сразу три масштабные вредоносные кампании?
На протяжении последних нескольких лет, Docker Hub, платформа для размещения программных репозиториев, стала объектом трёх крупных мошеннических кампаний. Исследователи из JFrog выявили, что около 20% из 15 миллионов хостинговых репозиториев содержали вредоносные элементы — от спама до опасного зловредного ПО и ссылок на фишинговые сайты.
Специалисты обнаружили около 4,6 миллиона репозиториев, которые не содержали Docker-образы, и, следовательно, их невозможно было запустить с помощью Kubernetes кластера или Docker движка. Около 2,81 миллиона из них были связаны с тремя крупными вредоносными кампаниями, упомянутыми выше.
Первая кампания, известная как «Downloader», использовала автоматически созданные тексты для продвижения пиратского контента или читов для видеоигр, которые содержали ссылки на зловредное программное обеспечение. «Эта кампания была активна в два различных периода — в 2021 и 2023 году, и в обоих случаях использовался один и тот же вредоносный исполняемый файл и создавалась задача в планировщике Windows», — отметили в JFrog.
Вторая кампания, «eBook Phishing», имела почти миллион репозиториев и предлагала бесплатные загрузки электронных книг с произвольно сгенерированными описаниями и URL. Однако вместо скачивания книги пользователи перенаправлялись на фишинговую страницу, где от них требовалось ввести информацию о своей кредитной карте.
В рамках третьей кампании, «Website SEO», которая хоть и казалась менее вредоносной, создавалось по нескольку репозиториев ежедневно, и все они имели одинаковое название: «website». «Возможно, данная кампания использовалась как своего рода тестовая нагрузка перед запуском действительно зловредных кампаний», — предположили в JFrog.
Помимо крупных кампаний, экспертами были обнаружены также и более мелкие, включающие такие репозитории, в каждом из которых было не более 1000 пакетов, их основной целью было распространение спама и SEO-контента.
Специалисты JFrog уведомили команду безопасности Docker о своих находках, которые включали 3,2 миллиона репозиториев, подозреваемых в размещении вредоносного или нежелательного содержимого. В свою очередь, Docker уже удалил все подозрительные репозитории с Docker Hub.
«В отличие от типичных атак, направленных непосредственно на разработчиков и организации, злоумышленники в данном случае постоянно пытались повысить доверие к себе на платформе Docker Hub, что затрудняло выявление попыток фишинга и установки вредоносного ПО», — добавили в JFrog, подчёркивая необходимость постоянного модерирования таких платформ.
Одно найти легче, чем другое. Спойлер: это не темная материя