Los ataques de malware a Docker Hub propagan millones de repositorios maliciosos
Los investigadores de ciberseguridad de JFrog descubrieron recientemente tres campañas maliciosas en Docker Hub, el servicio de registro basado en la nube de Docker para almacenar y compartir imágenes de contenedores. Estas campañas contenían millones de repositorios que enviaban malware troyano genérico a los desarrolladores.
La conclusión de los hallazgos de JFrog es que con repositorios de código abierto como Docker Hub, mantenerlos limpios de malware es una tarea inmensamente difícil.
Como explicaron los investigadores, los repositorios de Docker Hub tienen dos aspectos principales: la imagen (una aplicación que se puede actualizar y a la que se puede acceder mediante un nombre fijo) y los metadatos (descripciones breves y documentación en formato HTML, que se mostrarán en la parte principal). del repositorio). página).
Millones de repositorios malos
«En general, la documentación del repositorio tiene como objetivo explicar el propósito de la imagen y proporcionar pautas para su uso», explicaron los investigadores.
Sin embargo, aproximadamente 4,6 millones de repositorios no contenían ninguna imagen de Docker, lo que significa que no podían ejecutarse utilizando un clúster de Kubernetes o un motor Docker: eran prácticamente inútiles. Eran solo la página de descripción general que intentaba engañar a los desarrolladores para que visitaran sitios web de phishing u otras páginas que albergan código malicioso.
De los 4,6 millones de repositorios, 2,81 millones estaban vinculados a tres campañas: «Downloader», «eBook Phishing» y «Website SEO».
En términos de número de repositorios maliciosos, Downloader fue el más grande, representando casi el 10% del total (1.453.228 repositorios). Sin embargo, no contaba con tantos usuarios (9.309) como, por ejemplo, Website SEO (194.699). Este último, sin embargo, sólo se hizo con el 1,4% de las acciones y disponía de «sólo» 215.451 depósitos.
Con una cuota del 7,1%, el eBook Phishing ocupó el segundo lugar, con 1.069.160 repositorios. Sin embargo, sólo tenía 1.042 usuarios.
JFrog reveló sus hallazgos a Docker, lo que llevó al proyecto a eliminar los repositorios maliciosos: 3,2 millones de ellos.
«A diferencia de los ataques típicos dirigidos directamente a desarrolladores y organizaciones, los atacantes en este caso intentaron explotar la credibilidad de la plataforma Docker Hub, lo que hace más difícil identificar los intentos de phishing y de instalación de malware», dijo JFrog.
«Casi tres millones de repositorios maliciosos, algunos de ellos activos durante más de tres años, resaltan el continuo mal uso de la plataforma Docker Hub por parte de los atacantes y la necesidad de una moderación constante en dichas plataformas».