JFrog 的安全研究人员发现,Docker Hub(一个供 Web 开发人员协作编写 Web 应用程序代码的平台)上有近 300 万个存储库包含恶意内容。
恶意行为者植入了数百万个没有任何图像的存储库,但这些存储库确实包含恶意元数据。其范围包括“从宣传盗版内容的简单垃圾邮件到由自动生成的帐户上传的恶意软件和网络钓鱼网站等极其恶意的实体”。
Docker Hub 是一个基于云的容器镜像存储库,提供公共和私有存储及协作解决方案。
存储库包含容器数据之上的文本描述和元数据。公共存储库还充当社区平台,它允许用户搜索和发现其项目的图像。
恶意行为者很快意识到他们可以利用文档功能来欺骗用户访问恶意网站。
JFrog 研究人员发现,460 万个公共存储库(占所有公共存储库的 30%)是无图像的。他们还透露,281 万个存储库可能与 Docker Hub 上运行的三个大规模恶意软件活动相关:
- “下载器”活动使用虚假 URL 缩短器将用户重定向到恶意软件下载。 9,309 位用户创建了 1,453,228 个此类存储库,占 Docker Hub 上所有存储库的 9.7%。
- “电子书网络钓鱼”活动承诺提供带有随机生成描述的免费电子书,但却窃取用户的信用卡信息并让用户进行昂贵的订阅。 1,042 位用户创建了 1,069,160 个此类存储库,占 Docker Hub 上所有存储库的 7.1%。
- “网站搜索引擎优化”活动没有明确的目标,因为存储库的内容大多是无害的。每个用户仅创建一个存储库。没有任何其他信息的随机短语可能被用来促进搜索引擎优化。 194,699 位用户创建了 215,451 个存储库 (1.4%)。
一些恶意存储库的活跃时间超过三年。
报告中写道:“Docker 安全团队迅速从 Docker Hub 中删除了所有恶意和不需要的存储库。”
建议用户优先选择标记为可信内容的 Docker 镜像,这些镜像是由信誉良好的来源策划和维护的。 “Docker 官方镜像”标签意味着存储库由知名软件开发基金会、组织和公司维护,例如 Python、Ubuntu 和 Node。
“Verified Publisher”标签标记属于 Docker Verified Publisher 计划一部分的存储库。 “赞助 OSS”标签分配给 Docker Hub 赞助的开源项目。
Cybernews 研究团队此前发现Docker Hub 上的数千个存储库还包含令牌、API 密钥和其他暴露敏感信息的秘密。
发表评论
您还未登录,请先登录。
登录