Los repositorios de Docker Hub ocultan más de 1650 contenedores maliciosos

Los repositorios de Docker Hub ocultan más de 1650 contenedores maliciosos

Más de 1600 imágenes de Docker Hub disponibles públicamente ocultan comportamientos maliciosos, incluidos mineros de criptomonedas, secretos incrustados que se pueden usar como puertas traseras, secuestradores de DNS y redireccionadores de sitios web.

Docker Hub es una biblioteca de contenedores basada en la nube que permite a las personas buscar y descargar libremente imágenes de Docker o cargar sus creaciones en la biblioteca pública o repositorios personales.

Las imágenes de Docker son plantillas para la creación rápida y sencilla de contenedores que contienen código y aplicaciones listos para usar. Por lo tanto, aquellos que buscan configurar nuevas instancias a menudo recurren a Docker Hub para encontrar rápidamente una aplicación que se implemente fácilmente.

Desafortunadamente, debido al abuso del servicio por parte de los actores de amenazas, más de mil cargas maliciosas presentan riesgos graves para los usuarios desprevenidos que implementan imágenes cargadas de malware en contenedores alojados localmente o basados ​​en la nube.

Muchas imágenes maliciosas usan nombres que las disfrazan como proyectos populares y confiables, por lo que los actores de amenazas claramente las cargaron para engañar a los usuarios para que las descarguen.

Los investigadores de Sysdig investigaron el problema, trataron de evaluar la escala del problema e informaron sobre las imágenes encontradas que presentan algún tipo de código o mecanismo malicioso.

Trampas de Docker Hub

Además de las imágenes revisadas por Docker Library Project, que se verifica que son confiables, cientos de miles de imágenes con un estado desconocido están en el servicio.

Sysdig usó sus escáneres automatizados para analizar 250 000 imágenes de Linux no verificadas e identificó 1652 de ellas como maliciosas.

Tipos de imágenes maliciosas
Tipos de imágenes maliciosas

La categoría más grande fue la de cripto-mineros, que se encuentra en 608 imágenes de contenedores, apuntando a los recursos del servidor para extraer criptomonedas para los actores de amenazas.

La segunda ocurrencia más común fueron las imágenes que ocultaban secretos incrustados, midiendo 281 casos. Los secretos incrustados en estas imágenes son claves SSH, credenciales de AWS, tokens de GitHub, tokens de NPM y otros.

Tipos de secretos que quedan en las imágenes de Docker

Sysdig comenta que estos secretos pueden haber sido dejados en imágenes públicas por error o inyectados intencionalmente por el actor de amenazas que los creó y subió.

“Al incorporar una clave SSH o una clave API en el contenedor, el atacante puede obtener acceso una vez que se implementa el contenedor”, advierte Sysdig en  el informe .

“Por ejemplo, cargar una clave pública en un servidor remoto permite a los propietarios de la clave privada correspondiente abrir un shell y ejecutar comandos a través de SSH, de forma similar a implantar una puerta trasera”.

Muchas imágenes maliciosas descubiertas por Sysdig usaban typosquatting para hacerse pasar por imágenes legítimas y confiables, solo para infectar a los usuarios con criptomineros.

Esta táctica sienta las bases para algunos casos de gran éxito, como los dos ejemplos que se muestran a continuación, que se han descargado casi 17.000 veces.

Imágenes de Docker que contienen mineros
Imágenes de Docker que contienen mineros

Typosquatting también garantiza que los usuarios que escriban mal el nombre de un proyecto popular descarguen una imagen maliciosa, por lo que, si bien esto no produce un gran número de víctimas, garantiza un flujo constante de infecciones.

Imágenes con errores tipográficos que capturan errores tipográficos aleatorios
Imágenes con errores tipográficos que capturan errores tipográficos aleatorios

Un problema que empeora

Sysdig dice que, en 2022, el 61 % de todas las imágenes extraídas de Docker Hub provienen de repositorios públicos, un aumento del 15 % con respecto a las estadísticas de 2021, por lo que el riesgo para los usuarios va en aumento.

Desafortunadamente, el tamaño de la biblioteca pública de Docker Hub no permite a sus operadores examinar todas las cargas diariamente; por lo tanto, muchas imágenes maliciosas no se denuncian.

Sysdig también notó que la mayoría de los actores de amenazas solo cargan un par de imágenes maliciosas, por lo que incluso si se elimina una imagen riesgosa y se prohíbe el cargador, no afecta significativamente el panorama de amenazas de la plataforma.

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.