Các nhà nghiên cứu an ninh mạng đã phát hiện ra nhiều chiến dịch nhắm mục tiêu đến Docker Hub bằng cách trồng hàng triệu container "không hình ảnh" độc hại trong năm năm qua, một lần nữa nhấn mạnh cách các cơ quan đăng ký nguồn mở có thể mở đường cho các cuộc tấn công chuỗi cung ứng.
"Hơn bốn triệu kho lưu trữ trong Docker Hub là không có hình ảnh và không có nội dung ngoại trừ tài liệu lưu trữ", nhà nghiên cứu bảo mật Andrey Polkovnichenko của JFrog cho biết trong mộtbáo cáo được chia sẻ với The Hacker News.
Hơn nữa, tài liệu không có bất kỳ kết nối nào với container. Thay vào đó, đó là một trang web được thiết kế để thu hút người dùng truy cập các trang web lừa đảo hoặc lưu trữ phần mềm độc hại.
Trong số 4,79 triệu kho lưu trữ Docker Hub không hình ảnh được phát hiện, 3,2 triệu trong số đó được cho là đã được sử dụng làm trang đích để chuyển hướng người dùng không nghi ngờ đến các trang web lừa đảo như một phần của ba chiến dịch lớn -
- Trình tải xuống (kho lưu trữ được tạo vào nửa đầu năm 2021 và tháng 9 năm 2023), quảng cáo các liên kết đến nội dung vi phạm bản quyền có mục đích hoặc gian lận cho trò chơi điện tử nhưng liên kết trực tiếp đến các nguồn độc hại hoặc một nguồn hợp pháp, lần lượt, chứa mã JavaScript chuyển hướng đến tải trọng độc hại sau 500 mili giây.
- Lừa đảo sách điện tử (kho lưu trữ được tạo vào giữa năm 2021), chuyển hướng người dùng tìm kiếm sách điện tử đến một trang web ("rd.lesac.ru"), từ đó thúc giục họ nhập thông tin tài chính để tải xuống sách điện tử.
- Trang web (hàng nghìn kho lưu trữ được tạo hàng ngày từ tháng 4/2021 đến tháng 10/2023), trong đó có chứa liên kết đến dịch vụ lưu trữ nhật ký trực tuyến có tên Penzu trong một số trường hợp.
Tải trọng được phân phối như một phần của chiến dịch tải xuống được thiết kế để liên hệ với máy chủ chỉ huy và kiểm soát (C2) và truyền siêu dữ liệu hệ thống, sau đó máy chủ phản hồi bằng liên kết đến phần mềm bị bẻ khóa.
Mặt khác, mục tiêu chính xác của cụm trang web hiện chưa rõ ràng, với chiến dịch cũng được tuyên truyền trên các trang web có chính sách kiểm duyệt nội dung lỏng lẻo.
Với các tác nhân đe dọa đang nỗ lực hết sức để đầu độc các tiện ích nổi tiếng, bằng chứng là trong trường hợp thỏa hiệp XZ Utils, các nhà phát triển bắt buộc phải thận trọng khi tải xuống các gói từ hệ sinh thái nguồn mở /