Почти пятая часть репозиториев Docker Hub оказалась заражена вредоносным ПО

Специалисты компании JFrog обнаружили, что почти каждый пятый репозиторий на Docker Hub — популярной платформе для хранения и распространения контейнеризированных приложений — использовался злоумышленниками для доставки вредоносного ПО и фишинговых схем. По данным исследователей, скомпрометированными оказались почти три миллиона репозиториев, причём некоторые из них оставались активными более трёх лет.

Как работала схема

Команда JFrog, которая на постоянной основе мониторит открытые программные реестры — ранее она уже находила вредоносные пакеты в NPM, PyPI и NuGet, — обратила внимание на аномальную активность в Docker Hub. Расследование выявило три масштабные кампании, в рамках которых злоумышленники массово создавали так называемые «imageless»-репозитории — записи без самого контейнерного образа, но с вредоносными метаданными, которые заманивали ничего не подозревающих пользователей.

Каждая из трёх кампаний имела свой почерк распространения:

  • «Downloader» и «eBook Phishing» — фейковые репозитории создавались большими партиями за короткие промежутки времени;
  • «Website SEO» — злоумышленники действовали медленнее и осторожнее, публикуя по несколько репозиториев в день на протяжении длительного периода, причём каждый репозиторий этой кампании привязывался к отдельному пользовательскому аккаунту.

Такое разнообразие тактик, по словам JFrog, отражает изощрённость подхода киберпреступников к эксплуатации доверия, которое пользователи испытывают к репутации Docker Hub.

Реакция Docker

Как только JFrog обнаружила проблему, компания незамедлительно уведомила службу безопасности Docker. В результате совместных действий было удалено 3,2 миллиона репозиториев, заподозренных в распространении вредоносного или нежелательного контента. Сотрудничество двух компаний в этом случае стало показательным примером того, как партнёрство между исследователями безопасности и владельцами платформ помогает оперативно закрывать подобные угрозы.

Почему это важно

Инцидент в очередной раз демонстрирует, что даже крупные и авторитетные площадки для разработчиков остаются привлекательной целью для злоумышленников, эксплуатирующих доверие к бренду. Разработчикам и организациям, использующим Docker Hub для получения контейнерных образов, стоит внимательнее относиться к источникам загружаемых репозиториев, проверять их репутацию и не полагаться исключительно на популярность платформы как гарантию безопасности.

Источник: Cybersecurity News.