Специалисты по кибербезопасности обнаружили сразу несколько масштабных кампаний, в рамках которых злоумышленники годами заполняли Docker Hub миллионами фиктивных репозиториев. Ни один из них не содержал реального образа контейнера — только текст-приманку, ведущую на фишинговые сайты или площадки с вредоносным ПО. История в очередной раз показывает, насколько уязвимы открытые реестры пакетов перед атаками на цепочку поставок.
Более 4 миллионов «пустых» репозиториев
По данным исследователя безопасности JFrog Андрея Полковниченко, свыше 4 миллионов репозиториев на Docker Hub оказались «безобразными» (imageless) — у них нет никакого содержимого, кроме документации. Причём эта документация никак не связана с заявленным контейнером: на деле это просто веб-страница, созданная, чтобы заманить пользователя на фишинговый или вредоносный ресурс.
Всего исследователи выявили 4,6 миллиона таких пустых репозиториев. Из них 2,81 миллиона использовались как посадочные страницы для перенаправления ничего не подозревающих пользователей на мошеннические сайты — в рамках трёх крупных кампаний.
Три схемы обмана
Downloader. Репозитории создавались в первой половине 2021 года и в сентябре 2023-го. Они рекламировали ссылки на якобы пиратский контент или читы для видеоигр, но либо сразу вели на вредоносный источник, либо на легитимный сайт, который через JavaScript-код перенаправлял жертву на вредоносную нагрузку спустя 500 миллисекунд.
E-book phishing. Репозитории появились в середине 2021 года и перенаправляли пользователей, искавших электронные книги, на сайт rd.lesac.ru, который затем требовал ввести данные банковской карты якобы для скачивания книги.
Website. С апреля 2021-го по октябрь 2023-го ежедневно создавались тысячи репозиториев этого типа. Часть из них содержала ссылку на сервис онлайн-дневников Penzu, часть — безобидный текст, что указывает на возможную раннюю тестовую фазу кампании. Истинная цель этого кластера пока не ясна; известно, что кампания также распространялась через сайты с мягкой политикой модерации контента.
Что происходит после перехода по ссылке
Вредоносная нагрузка, которую доставляет кампания Downloader, связывается с командным сервером (C2) и передаёт ему метаданные системы жертвы. В ответ сервер присылает ссылку якобы на взломанное («крякнутое») программное обеспечение. Исследователи предполагают, что атаки могут быть частью более крупной операции, связанной с adware и схемами монетизации трафика за счёт распространения стороннего софта.
Масштаб операции
JFrog насчитала 208 739 фейковых аккаунтов, которые злоумышленники использовали для создания вредоносных и нежелательных репозиториев. После ответственного раскрытия информации Docker удалил все эти репозитории.
«Самое тревожное в этих трёх кампаниях — то, что пользователи практически ничего не могут сделать для собственной защиты, кроме как проявлять осторожность», — заявил Шачар Менаше, старший директор по исследованиям безопасности в JFrog. По его словам, речь фактически идёт о «игровой площадке для вредоносного ПО», строительство которой в некоторых случаях заняло три года: «Эти злоумышленники крайне мотивированы и прячутся за репутацией имени Docker Hub, чтобы заманивать жертв».
Урок для разработчиков
Авторы исследования напоминают, что атакующие в последнее время предпринимают серьёзные усилия, чтобы скомпрометировать широко используемые утилиты — достаточно вспомнить историю с бэкдором в XZ Utils. Это лишний повод для разработчиков внимательно относиться к загрузке пакетов из открытых экосистем.
«По закону Мёрфи, если что-то можно эксплуатировать, разработчики вредоносного ПО рано или поздно это сделают, — добавил Менаше. — Поэтому мы ожидаем, что подобные кампании обнаружатся не только на Docker Hub, но и в других репозиториях».
Источник: The Hacker News.