Actores maliciosos abusan de los repositorios de Docker Hub para disfrazar contenedores maliciosos

Los actores de amenazas están abusando de los repositorios de Docker Hub para cargar contenedores maliciosos que pueden ayudarlos a extraer criptomonedas e incrustar archivos que admiten puertas traseras, secuestradores de DNS y redireccionadores de sitios web. Los investigadores de Sysdig realizaron un análisis de más de 250.000 imágenes de Linux no verificadas basadas en […]

Los actores de amenazas están abusando de los repositorios de Docker Hub para cargar contenedores maliciosos que pueden ayudarlos a extraer criptomonedas e incrustar archivos que admiten puertas traseras, secuestradores de DNS y redireccionadores de sitios web.

Los investigadores de Sysdig realizaron un análisis de más de 250.000 imágenes de Linux no verificadas basadas en varias categorías y encontraron 1.652 de ellas con contenido negativo.

El tipo de contenido se clasificó como criptominería (608), secretos incrustados (281), evitación de proxy (266), dominios recién registrados (134), sitios web maliciosos (129), piratería (38), DNS dinámico (33) y otros. (288).

Según el tipo de secreto filtrado, estas imágenes se subcategorizan como claves SSH (155), credenciales de AWS (146), tokens de GitHub (134), tokens de NPM (24) y otros (78).

¿Como funciona?

El tamaño de la biblioteca pública de Docker Hub es enorme, por lo que sus operadores no pueden examinar todas las cargas diariamente. Debido a esto, muchas imágenes maliciosas no se denuncian.

Estas imágenes maliciosas usaban typosquatting para hacerse pasar por imágenes legítimas y confiables para infectar a los usuarios con criptomineros, como XMRig.

Aunque los actores de amenazas usaron diferentes nombres de usuario para publicar estas imágenes, los investigadores sugieren que lo más probable es que pertenezcan al mismo actor de amenazas o estén siguiendo el mismo conjunto de instrucciones.

Ataques recientes a Docker

A principios de este mes, se observó una nueva campaña de cryptojacking llamada Kiss-a-Dog dirigida a la infraestructura de nube vulnerable, incluidos los servidores Docker y Kubernetes mal protegidos.

En septiembre, se vio que el malware Kinsing se aprovechaba de las fallas de seguridad en el servidor WebLogic y se dirigía a entornos de contenedores a través de puertos API abiertos de Docker Daemon mal configurados.