Docker Hub 上发现数百万个恶意容器

三个大规模恶意软件活动已渗透到 Docker Hub，部署了数百万个恶意“无映像”容器。

该数据来自 JFrog 的安全研究团队，该团队最近披露了 Docker Hub 内的一个令人担忧的趋势。

该平台以促进 Docker 镜像开发、协作和分发而闻名，托管着超过 1250 万个存储库。 然而，据 JFrog 称，这些存储库中大约 25% 缺乏有用的功能，而是充当垃圾邮件、盗版内容推广和恶意软件传播的工具。

根据今天发布的报告，对 Docker Hub 的攻击利用了其社区功能，允许用户发布仅包含文档页面的存储库，而没有实际的容器映像。 这些文档页面伪装成合法内容，将毫无戒心的用户引导至网络钓鱼和恶意软件托管网站。

为了识别这些恶意存储库，研究团队分析了过去五年 Docker Hub 镜像的创建模式。 他们发现了存储库创建中的异常情况，发现了超过 400 万个无图像存储库，占所有公共存储库的 37%。

进一步调查发现了三个主要的恶意软件活动：“下载器”活动，提供盗版内容和游戏作弊； “电子书网络钓鱼”活动，通过免费电子书下载引诱用户窃取信用卡信息； 以及“网站”活动，其特点是随机生成的包含良性描述的存储库。

每个活动都采用不同的策略来逃避检测，例如 URL 缩短器和开放重定向错误。 这些活动的有效负载（主要是特洛伊木马）与命令与控制 (C2) 服务器进行通信，以下载其他恶意软件并在受感染的系统上执行持久任务。

JFrog 安全研究员安德烈·波尔科夫尼琴科 (Andrey Polkovnichenko) 警告说：“这三项活动中最令人担忧的一点是，除了谨慎行事之外，用户从一开始就无法采取太多措施来保护自己。” “我们本质上是在寻找一个恶意软件游乐场，在某些情况下，这个游乐场已经酝酿了三年。”

这些发现 具有重大影响，强调需要加强 Docker Hub 的审核以及更多社区参与检测和减轻恶意活动。

Polkovnichenko 补充道：“这些威胁行为者动机非常强烈，并隐藏在 Docker Hub 名称的可信度背后来引诱受害者。”

“正如墨菲定律所表明的那样，如果某些东西可以被恶意软件开发人员利用，那么它就不可避免地会被利用，因此我们预计这些活动可以在更多的存储库中找到，而不仅仅是 Docker Hub。”