Recentemente, è stata rivelata una scoperta allarmante riguardante Docker Hub, la nota piattaforma utilizzata per lo sviluppo, la collaborazione e la distribuzione di immagini Docker.
Il team di ricerca sulla sicurezza di JFrog ha scoperto tre grandi campagne di malevole che hanno sfruttato Docker Hub, distribuendo milioni di container senza immagine.
I container malevoli
Questi container malevoli, che in realtà non contenevano immagini Docker, sono stati utilizzati come veicoli per spam, la promozione di contenuti e la diffusione di malware.
Secondo il rapporto pubblicato, l’attacco a Docker Hub avrebbe sfruttato le funzionalità comunitarie della piattaforma, consentendo agli utenti di pubblicare repository contenenti solo pagine di documentazione, prive di vere e proprie immagini container. Sarebbero state proprio queste pagine di documentazione, mascherate da contenuti legittimi, ad indirizzare gli utenti verso siti web di phishing e ospitanti malware.
Le tre campagne scoperte
Le tre campagne principali identificate sono state: la campagna “Downloader”, la campagna “eBook Phishing” e la campagna “Website”.
Ogni campagna ha impiegato tattiche distinte per evitare il rilevamento, come l’uso di URL shorteners e bug di tipo open redirect. I payload della campagna “Downloader”, prevalentemente trojan, comunicavano con server di comando e controllo per scaricare malware aggiuntivo ed eseguire attività persistenti sui sistemi infetti.
Maggiore controllo
I risultati sottolineano la necessità di una migliore attività di moderazione su Docker Hub e un maggiore coinvolgimento della comunità nel rilevare e mitigare attività malevole. L’analisi dei pattern di creazione dei repository, condotta negli ultimi cinque anni da JFrog, avrebbe rivelato quasi 3 milioni di repository senza immagine, costituendo il 20% di tutti i repository pubblici.
Ulteriori dettagli sul blog JFrog.
Iscriviti alla Newsletter settimanale di Computer Security News