Docker Hub暗藏1600+惡意容器鏡像

Sysdig的安全研究者近日發現Docker Hub中暗藏著超過1600個惡意鏡像，可實施的攻擊包括加密貨幣挖礦、嵌入后門/機密信息、DNS劫持和網站重定向等。

Docker Hub是一個深受IT人員喜愛的云容器庫，允許人們自由搜索和下載Docker鏡像，或將他們的作品上傳到公共或個人存儲庫。

Docker鏡像是用于快速創建包含即用型代碼和應用程序的容器的模板，設置新實例的人通常會通過Docker Hub快速查找易于部署的應用程序。

不幸的是，由于黑客濫用Docker Hub服務，超過一千個惡意容器鏡像被毫無戒心的用戶部署到本地托管或基于云的容器上，帶來嚴重風險。

許多惡意鏡像的名字看起來很像一些受歡迎且值得信賴的項目，攻擊者顯然希望誘騙用戶下載這些鏡像。

Docker Hub成了危險的陷阱

除了經過Docker Library Project審核并被驗證為可信的鏡像外，該服務上還有數十萬個狀態未知的鏡像。

Sysdig用自動掃描器仔細檢查了25萬個未經驗證的Linux鏡像，發現其中1652是惡意鏡像，其類別細分如下：

占比最高的是挖礦軟件，多達608個惡意容器鏡像中發現該類惡意軟件，它們以服務器資源為目標，為攻擊者挖掘加密貨幣。

第二常見的是嵌入機密信息/后門的鏡像，共發現281例。這些鏡像中嵌入的秘密是SSH密鑰、AWS憑證、GitHub令牌、NPM令牌等（下圖）。

Sysdig在報告中指出，這些機密信息可能是由創建和上傳它們的黑客故意注入的（后門）。因為通過將SSH密鑰或API密鑰嵌入到容器鏡像中，攻擊者可以在用戶部署容器后獲得訪問權限。

“例如，將公鑰上傳到遠程服務器允許擁有私鑰的攻擊者打開Shell并通過SSH運行命令，類似于植入后門。”

Sysdig還發現許多惡意鏡像使用相似域名來冒充合法和可信的鏡像，目的是讓用戶感染挖礦惡意軟件。

這種策略有一些非常成功的案例，例如下面兩個惡意鏡像已被下載近1.7萬次。

攻擊者還利用Typosquatting（輸入錯誤沉淀）方法來蹲守那些不小心錯誤輸入流行項目名字的用戶，該方法雖然這不會產生大量受害者，但仍能穩定貢獻感染量（下圖）。

問題持續惡化

Sysdig表示，到2022年，從Docker Hub提取的所有鏡像中有61%來自公共存儲庫，比2021年的統計數據增加了15%，因此用戶面臨的風險正在上升。

不幸的是，Docker Hub公共存儲庫的規模太大，其操作員無法每天及時檢查所有上傳鏡像。因此，可以想象還有大量惡意鏡像未被報告。

Sysdig還發現，Docker Hub中大多數惡意行為者人均上傳的惡意鏡像數量都不多，這意味著很難通過刪除和封鎖少數“慣犯“的方式來快速改善Docker Hub的威脅態勢。