התקפות זדוניות על Docker Hub

חוקרי אבטחת סייבר מ-JFrog גילו לאחרונה שלושה קמפיינים זדוניים ב-Docker Hub – שירות הרישום מבוסס הענן של Docker לאחסון ושיתוף של תמונות קונטיינר. קמפיינים אלה הכילו מיליוני מאגרים שדחפו תוכנות זדוניות טרויאניות גנריות למפתחים. 

המסקנה של ממצאי JFrog היא שעם מאגרים בקוד פתוח כמו Docker Hub, שמירה על ניקיון מתוכנות זדוניות היא משימה קשה ביותר.

כפי שהסבירו החוקרים, למאגרי Docker Hub שני היבטים עיקריים: התמונות (אפליקציה שניתן לעדכן ולגשת אליה באמצעות שם קבוע), והמטא-דאטה (תיאורים קצרים ותיעוד בפורמט HTML, שיוצגו בדף הראשי של המאגר).

מיליוני מאגרים פגומים

"בדרך כלל, תיעוד של מאגרים נועד להסביר את מטרת התמונה ולספק הנחיות לשימוש בה", הסבירו החוקרים.

עם זאת, כ-4.6 מיליון מאגרים לא הכילו תמונות Docker, כלומר לא ניתן היה להריץ אותן באמצעות אשכול Kubernetes או מנוע Docker – הן היו כמעט חסרות תועלת. הן הכילו רק את דף הסקירה הכללית שניסה להערים על המפתחים לבקר באתרי פישינג או בדפים אחרים המארחים קוד זדוני.

מתוך 4.6 מיליון מאגרים, 2.81 מיליון היו מקושרים לשלושה קמפיינים: "מוריד", "פישינג של ספרים אלקטרוניים" ו-"קידום אתרים".

מבחינת מספר המאגרים הזדוניים, Downloader היה הגדול ביותר, כשהוא מהווה כמעט 10% מכלל המאגרים (1,453,228 מאגרים). עם זאת, לא היו לו משתמשים רבים (9,309) כמו, למשל, קידום אתרים באתרים (194,699). האחרון, לעומת זאת, תפס רק 1.4% מהמאגרים, עם "רק" 215,451 מאגרים.

עם 7.1% מהנתח, פישינג של ספרים אלקטרוניים היה השני, עם 1,069,160 מאגרים. עם זאת, היו בו רק 1,042 משתמשים. 

JFrog חשפה את ממצאיה ל-Docker, מה שהוביל את הפרויקט להסיר את המאגרים הזדוניים – 3.2 מיליון מהם. 

"בניגוד להתקפות טיפוסיות המכוונות ישירות למפתחים וארגונים, במקרה זה ניסו התוקפים למנף את אמינות הפלטפורמה של Docker Hub, מה שהקשה על זיהוי ניסיונות הפישינג והתקנת תוכנות זדוניות", אמר JFrog.

"כמעט שלושה מיליון מאגרים זדוניים, חלקם פעילים למעלה משלוש שנים, מדגישים את השימוש לרעה המתמשך של התוקפים בפלטפורמת Docker Hub ואת הצורך במתינות מתמדת בפלטפורמות כאלה."