BlogNoticias

Inserido em: 30/04/2024

Milhões de contêineres maliciosos “sem imagem” foram plantados no Docker Hub ao longo de 5 anos

docker hub

Pesquisadores de segurança cibernética descobriram várias campanhas visando o Docker Hub, plantando milhões de contêineres maliciosos “sem imagem” nos últimos cinco anos, mais uma vez ressaltando como os registros de código aberto podem abrir caminho para ataques à cadeia de suprimentos.

“Mais de quatro milhões dos repositórios no Docker Hub não têm imagens e não têm conteúdo, exceto a documentação do repositório”, disse o pesquisador de segurança do JFrog, Andrey Polkovnichenko, em um relatório.

Além disso, a documentação não tem nenhuma conexão com o contêiner. Em vez disso, é uma página da Web projetada para atrair os usuários a visitar sites de phishing ou hospedagem de malware.

Dos 4,79 milhões de repositórios sem imagens do Docker Hub descobertos, 3,2 milhões deles teriam sido usados como páginas de destino para redirecionar usuários desavisados para sites fraudulentos como parte de três grandes campanhas:

  • Downloader (repositórios criados no primeiro semestre de 2021 e setembro de 2023), que anuncia links para supostos conteúdos piratas ou cheats para videogames, mas links diretos para fontes maliciosas ou uma legítima que, por sua vez, contém código JavaScript que redireciona para a carga maliciosa após 500 milissegundos.
  • E-book phishing (repositórios criados em meados de 2021), que redireciona os usuários que procuram por e-books para um site (“rd.lesac.ru”) que, por sua vez, os incentiva a inserir suas informações financeiras para baixar o e-book.
  • Site (milhares de repositórios criados diariamente de abril de 2021 a outubro de 2023), que contém um link para um serviço de hospedagem de diários online chamado Penzu em alguns casos.

A carga útil entregue como parte da campanha de download é projetada para entrar em contato com um servidor de comando e controle (C2) e transmitir metadados do sistema, após o qual o servidor responde com um link para o software quebrado.

Por outro lado, o objetivo exato do cluster de sites atualmente não está claro, com a campanha também propagada em sites que têm uma política de moderação de conteúdo frouxa.

“O aspecto mais preocupante dessas três campanhas é que não há muito que os usuários possam fazer para se proteger no início, além de ter cautela”, disse Shachar Menashe, diretor sênior de pesquisa de segurança da JFrog, em um comunicado.

“Estamos essencialmente olhando para um playground de malware que, em alguns casos, está há três anos em construção. Esses atores de ameaças são altamente motivados e estão se escondendo atrás da credibilidade do nome Docker Hub para atrair vítimas.”

Com os agentes de ameaças fazendo esforços meticulosos para envenenar utilitários conhecidos, como evidenciado no caso do comprometimento do XZ Utils, é imperativo que os desenvolvedores tenham cautela quando se trata de baixar pacotes de ecossistemas de código aberto.

“Como sugere a Lei de Murphy, se algo pode ser explorado por desenvolvedores de malware, inevitavelmente será, então esperamos que essas campanhas possam ser encontradas em mais repositórios do que apenas no Docker Hub”, disse Menashe.

 

Fonte: THN

 

Voltar

Compartilhe no WhatsApp
Desenvolvido por Across | Política de Privacidade | Empresa do Grupo Pierre Soluções